В этой статье показано, как настроить VPN-сервер, загрузить сертификат и использовать eJavaToken / смарт-карту для подключения к VPN. По любым вопросам обращайтесь по адресу [email protected].
Предисловие
Виртуальная частная сеть, также известная как VPN, представляет собой частную сеть, которая распространяется через общедоступную сеть или Интернет. Это позволяет пользователям отправлять и получать данные через общие или общедоступные сети, как если бы их вычислительные устройства были напрямую подключены к частной сети.
VPN создается путем установления виртуального двухточечного соединения с использованием выделенных соединений, протоколов виртуального туннелирования или шифрования трафика.
Ядро VPN заключается в использовании общедоступной сети для создания виртуальной частной сети. Операционная система Windows Server2008 имеет встроенную поддержку приложений VPN. Пользователи Windows могут подключиться к серверу доступа к сети, который нуждается в безопасной передаче через VPN, так же, как при использовании удаленного доступа для входа на сервер ISP.
При установлении безопасного канала VPN сервер и клиент должны выполнить операцию взаимной аутентификации, чтобы установить ключи безопасного сеанса, которые используются для выполнения криптографической операции с последующей информацией. Windows Workstation позволяет пользователям использовать смарт-карту для аутентификации пользователя. для входа в клиент. В этой статье в качестве примера конфигурации VPN-сервера используется программа маршрутизации VPN для Windows Server 2008.
Подготовка
1. eJavaToken (убедитесь, что апплет PKI уже загружен).
2. ПК с Windows server 2008 (используется для настройки VPN-сервера).
Конфигурация VPN-сервера
Чтобы настроить сервер VPN, необходимо Настроить среду управления сертификатами смарт - карт и Выпуск смарт - карты управления сертификатами.
Настройка среды управления сертификатами смарт-карт
Настройка Windows 2008 CA.
1) Установите Windows Server 2008 Enterprise Edition
2) Добавьте роли:
выберите «Пуск-> Диспетчер сервера-> роли», нажмите «Добавить роли», запустите «Мастер добавления ролей» и установите необходимые роли сервера:
a) Выберите «DNS-сервер» для установки и следуйте инструкциям, чтобы завершить установку;
б) Выберите «Доменные службы Active Directory» для установки и следуйте инструкциям для завершения установки;
в) Запустите "dcpromo", запустите мастер установки контроллера домена и следуйте инструкциям, чтобы завершить установку, и выберите Windows 2008. На следующем рисунке представлена информация о конфигурации, другие - параметры по умолчанию. Имя корневого домена леса на рисунке C-4.png будет использоваться при добавлении домен локального компьютера.Пароль, будет использоваться при запуске этого контроллера домена в режиме восстановления служб каталогов.
д) Выберите «Веб-сервер (IIS)» и «Службы сертификации Active Directory» для установки, следуйте инструкциям для завершения установки.
Нажмите «Далее», выберите Центр сертификации и Веб-регистрация центра сертификации;
Выберите «Предприятие» и нажмите «Далее»;
Выберите «Корневой ЦС» и нажмите «Далее»;
Выберите «Создать новый закрытый ключ», нажмите «Далее»;
В окне «Настроить криптографию для CA» настройте следующим образом, нажимайте «Далее», пока не появится «Подтвердить выбор установки»;
В окне «Настроить имя CA » общее имя для этого CA по умолчанию - server-WIN-BP8PSK12IOH-CA .
e) Выберите «Службы сетевой политики и доступа » для установки и нажмите «Далее». В окне «Выбор служб ролей» настройте следующим образом. Нажимайте «Далее», пока установка не будет завершена.
Использование смарт-карт для входа в Windows - управление сертификатами смарт-карт
Чтобы пользователи смарт-карт могли входить в систему Windows Workstation, рабочая станция должна сначала выдать пользователям сертификат смарт-карты. Сертификат смарт-карты - это цифровой сертификат, хранящийся на смарт-карте пользователя. Действия следующие:
1> В окне «Диспетчер серверов» выберите « Роли-> Службы сертификации Active Directory -> сервер-WIN-BP8PSK12IOH-CA -> Шаблоны сертификатов», щелкните правой кнопкой мыши параметр «Шаблоны сертификатов». Во всплывающем меню выберите «Создать -> Шаблон сертификата для выдачи».
Затем появится диалоговое окно «Включить шаблоны сертификатов», выберите «Вход со смарт-картой», «Пользователь смарт- карты», «Агент регистрации (компьютер)», «Агент регистрации», нажмите OK .
После добавления шаблонов вернитесь в окно « Диспетчер серверов », и там появится новый созданный вами шаблон.
2> Откройте диспетчер IIS и выберите « Сертификат сервера » в корневом каталоге:
Выберите настроенный ЦС, нажмите «Создать самоподписанный сертификат» на правой боковой панели, введите имя сертификата (например, JAVACARD_CA), нажмите «ОК».
Выберите веб-сайт по умолчанию, а затем нажмите « Привязки… » на правой боковой панели. Во всплывающем диалоговом окне «Привязки сайта» нажмите «Добавить…». Выберите « https» в поле «Тип» в диалоговом окне « Добавить привязку сайта » и установите SSLCertificate в качестве имени сертификата, нажмите «ОК». На данный момент установлен протокол https.
1. В мастере установки ролей добавьте службы сетевой политики и доступа, см. Метод настройки центра сертификации Windows2008.
2. Конфигурация сервера доступа VPN.
* Щелкните правой кнопкой мыши древовидную структуру слева от консоли «Маршрутизация и удаленный доступ» и выберите «Свойства» во всплывающем меню.
* В окне «Свойства» нажмите вкладку «Безопасность», нажмите «Методы аутентификации…», появится диалоговое окно «Методы аутентификации», как показано ниже:
Примечание. После этих операций пользователи могут подать заявку на сертификат, который используется для аутентификации. Помните, что вы должны использовать пользователя, которого вы только что настроили для подачи заявки на сертификат. На этом настройка сервера доступа к VPN завершена, осталось настроить клиентское ПО.
Скачать сертификат
После того, как сертификат будет загружен и успешно установлен, вы можете просмотреть этот сертификат или подать заявку на получение нового.
Использование смарт-карт для входа в Windows - подайте заявку на управление сертификатами смарт-карт
Подать заявку на управление сертификатом смарт-карты.
1> Вставьте eJavaToken в компьютер (убедитесь, что апплет PKI уже находится в eJavaToken).
2> Откройте Internet Explorer, введите URL-адрес, который используется для выдачи сертификата смарт-карты (например,https: //*.*.*.*/certsrv/certrqma.asp), нажмите Ввод.
3> На странице «Расширенный запрос сертификата» выберите «Пользователь смарт-карты» для параметра шаблона сертификата, выберите «EnterSafe ePass2003 CSP v1.0» для параметра CSP, затем нажмите «Отправить».
4> Следуйте инструкциям, выберите «Установить этот сертификат» и нажмите «ОК», пока сертификат не будет успешно установлен.
5> После успешной загрузки и установки сертификата вы можете просмотреть этот сертификат или подать заявку на получение нового. А также пользователь может войти в систему с помощью смарт-карты.
Конфигурация VPN-клиента
Настройка клиента завершена на клиентском компьютере. Возьмем, к примеру, Win7.
Затем вы увидите имя VPN-подключения, которое вы установили, когда нажмете значок доступа к сети.
После этих операций настройка программного обеспечения VPN-клиента завершена. Чтобы подключиться к VPN, просто дважды щелкните имя нового VPN-подключения и нажмите «Подключиться» во всплывающем диалоговом окне. Если VPN-соединение установлено успешно, справа от имени VPN-подключения появится значок подключения.
Предисловие
Виртуальная частная сеть, также известная как VPN, представляет собой частную сеть, которая распространяется через общедоступную сеть или Интернет. Это позволяет пользователям отправлять и получать данные через общие или общедоступные сети, как если бы их вычислительные устройства были напрямую подключены к частной сети.
VPN создается путем установления виртуального двухточечного соединения с использованием выделенных соединений, протоколов виртуального туннелирования или шифрования трафика.
Ядро VPN заключается в использовании общедоступной сети для создания виртуальной частной сети. Операционная система Windows Server2008 имеет встроенную поддержку приложений VPN. Пользователи Windows могут подключиться к серверу доступа к сети, который нуждается в безопасной передаче через VPN, так же, как при использовании удаленного доступа для входа на сервер ISP.
При установлении безопасного канала VPN сервер и клиент должны выполнить операцию взаимной аутентификации, чтобы установить ключи безопасного сеанса, которые используются для выполнения криптографической операции с последующей информацией. Windows Workstation позволяет пользователям использовать смарт-карту для аутентификации пользователя. для входа в клиент. В этой статье в качестве примера конфигурации VPN-сервера используется программа маршрутизации VPN для Windows Server 2008.
Подготовка
1. eJavaToken (убедитесь, что апплет PKI уже загружен).
2. ПК с Windows server 2008 (используется для настройки VPN-сервера).
Конфигурация VPN-сервера
Чтобы настроить сервер VPN, необходимо Настроить среду управления сертификатами смарт - карт и Выпуск смарт - карты управления сертификатами.
Настройка среды управления сертификатами смарт-карт
Настройка Windows 2008 CA.
1) Установите Windows Server 2008 Enterprise Edition
2) Добавьте роли:
выберите «Пуск-> Диспетчер сервера-> роли», нажмите «Добавить роли», запустите «Мастер добавления ролей» и установите необходимые роли сервера:
a) Выберите «DNS-сервер» для установки и следуйте инструкциям, чтобы завершить установку;
б) Выберите «Доменные службы Active Directory» для установки и следуйте инструкциям для завершения установки;
в) Запустите "dcpromo", запустите мастер установки контроллера домена и следуйте инструкциям, чтобы завершить установку, и выберите Windows 2008. На следующем рисунке представлена информация о конфигурации, другие - параметры по умолчанию. Имя корневого домена леса на рисунке C-4.png будет использоваться при добавлении домен локального компьютера.Пароль, будет использоваться при запуске этого контроллера домена в режиме восстановления служб каталогов.
д) Выберите «Веб-сервер (IIS)» и «Службы сертификации Active Directory» для установки, следуйте инструкциям для завершения установки.
Нажмите «Далее», выберите Центр сертификации и Веб-регистрация центра сертификации;
Выберите «Предприятие» и нажмите «Далее»;
Выберите «Корневой ЦС» и нажмите «Далее»;
Выберите «Создать новый закрытый ключ», нажмите «Далее»;
В окне «Настроить криптографию для CA» настройте следующим образом, нажимайте «Далее», пока не появится «Подтвердить выбор установки»;
В окне «Настроить имя CA » общее имя для этого CA по умолчанию - server-WIN-BP8PSK12IOH-CA .
e) Выберите «Службы сетевой политики и доступа » для установки и нажмите «Далее». В окне «Выбор служб ролей» настройте следующим образом. Нажимайте «Далее», пока установка не будет завершена.
Использование смарт-карт для входа в Windows - управление сертификатами смарт-карт
Чтобы пользователи смарт-карт могли входить в систему Windows Workstation, рабочая станция должна сначала выдать пользователям сертификат смарт-карты. Сертификат смарт-карты - это цифровой сертификат, хранящийся на смарт-карте пользователя. Действия следующие:
1> В окне «Диспетчер серверов» выберите « Роли-> Службы сертификации Active Directory -> сервер-WIN-BP8PSK12IOH-CA -> Шаблоны сертификатов», щелкните правой кнопкой мыши параметр «Шаблоны сертификатов». Во всплывающем меню выберите «Создать -> Шаблон сертификата для выдачи».
Затем появится диалоговое окно «Включить шаблоны сертификатов», выберите «Вход со смарт-картой», «Пользователь смарт- карты», «Агент регистрации (компьютер)», «Агент регистрации», нажмите OK .
После добавления шаблонов вернитесь в окно « Диспетчер серверов », и там появится новый созданный вами шаблон.
2> Откройте диспетчер IIS и выберите « Сертификат сервера » в корневом каталоге:
Выберите настроенный ЦС, нажмите «Создать самоподписанный сертификат» на правой боковой панели, введите имя сертификата (например, JAVACARD_CA), нажмите «ОК».
Выберите веб-сайт по умолчанию, а затем нажмите « Привязки… » на правой боковой панели. Во всплывающем диалоговом окне «Привязки сайта» нажмите «Добавить…». Выберите « https» в поле «Тип» в диалоговом окне « Добавить привязку сайта » и установите SSLCertificate в качестве имени сертификата, нажмите «ОК». На данный момент установлен протокол https.
1. В мастере установки ролей добавьте службы сетевой политики и доступа, см. Метод настройки центра сертификации Windows2008.
2. Конфигурация сервера доступа VPN.
* Щелкните правой кнопкой мыши древовидную структуру слева от консоли «Маршрутизация и удаленный доступ» и выберите «Свойства» во всплывающем меню.
* В окне «Свойства» нажмите вкладку «Безопасность», нажмите «Методы аутентификации…», появится диалоговое окно «Методы аутентификации», как показано ниже:
- Выберите «Расширяемый протокол аутентификации (EAP)». Extensible Authentication Protocol - это усовершенствованный метод традиционной аутентификации по имени пользователя и паролю. Аутентификация пользователя смарт-карты относится к протоколу расширенной аутентификации.
- Нажмите «ОК» и закройте диалоговое окно «Методы аутентификации».
- Нажмите «ОК», закройте диалоговое окно «Свойства маршрутизации и удаленного доступа».
- Новый пользователь: выберите «Роли → Доменные службы Active Directory → Пользователи и компьютеры Active Directory → server.javacardos.com → Пользователи», щелкните этот элемент правой кнопкой мыши и выберите в меню «Новый → Пользователь», как показано на рисунке 010. Затем установите имя пользователя и пароль нового пользователя, как показано на рисунке.
- Щелкните нового пользователя правой кнопкой мыши, выберите «Свойства», выберите страницу «Телефонный доступ». В пункте «Разрешение доступа к сети» выберите «Разрешить доступ», а затем нажмите «ОК», как показано ниже.
Примечание. После этих операций пользователи могут подать заявку на сертификат, который используется для аутентификации. Помните, что вы должны использовать пользователя, которого вы только что настроили для подачи заявки на сертификат. На этом настройка сервера доступа к VPN завершена, осталось настроить клиентское ПО.
Скачать сертификат
- Вставьте eJavaToken в компьютер (убедитесь, что апплет PKI уже находится в eJavaToken).
- Откройте Internet Explorer, введите установленный на предыдущем шаге URL-адрес, который используется для выдачи сертификата смарт-карты (например, 192.168.50.96/certsrv/certrqma.asp), нажмите Enter.
- На странице «Расширенный запрос сертификата» выберите «Пользователь смарт-карты» для параметра шаблона сертификата, выберите «EnterSafe ePass2003 CSP v1.0» для параметра CSP, затем нажмите «Отправить».
- Следуйте инструкциям, выберите «Установить этот сертификат» и нажмите «ОК», пока сертификат не будет успешно установлен.
- Если отображается сообщение «Этот ЦС не является доверенным», следуйте инструкциям по добавлению этого ЦС в список доверенных.
После того, как сертификат будет загружен и успешно установлен, вы можете просмотреть этот сертификат или подать заявку на получение нового.
Использование смарт-карт для входа в Windows - подайте заявку на управление сертификатами смарт-карт
Подать заявку на управление сертификатом смарт-карты.
1> Вставьте eJavaToken в компьютер (убедитесь, что апплет PKI уже находится в eJavaToken).
2> Откройте Internet Explorer, введите URL-адрес, который используется для выдачи сертификата смарт-карты (например,https: //*.*.*.*/certsrv/certrqma.asp), нажмите Ввод.
3> На странице «Расширенный запрос сертификата» выберите «Пользователь смарт-карты» для параметра шаблона сертификата, выберите «EnterSafe ePass2003 CSP v1.0» для параметра CSP, затем нажмите «Отправить».
4> Следуйте инструкциям, выберите «Установить этот сертификат» и нажмите «ОК», пока сертификат не будет успешно установлен.
5> После успешной загрузки и установки сертификата вы можете просмотреть этот сертификат или подать заявку на получение нового. А также пользователь может войти в систему с помощью смарт-карты.
Конфигурация VPN-клиента
Настройка клиента завершена на клиентском компьютере. Возьмем, к примеру, Win7.
- Во-первых, убедитесь, что токен eJava с сертификатом внутри уже вставлен в компьютер.
- Откройте меню «Пуск», выберите «Панель управления» -> «Сеть и Интернет» -> «Центр управления сетями и общим доступом» -> «Настроить новое соединение или сеть» -> «Подключиться к рабочему месту», откройте «Подключиться к рабочему месту» диалоговое окно:
- Выберите «Использовать мое подключение к Интернету (VPN)»:
В этом всплывающем диалоговом окне вы должны ввести Интернет-адрес (IP-адрес VPN-сервера, например, 192.168.50.96) и Имя назначения (новое имя VPN-подключения), установите флажок слева от «Использовать смарт-карту» и затем нажмите "Соединять". - Компьютер автоматически распознает токен eJava. Вам будет предложено ввести PIN-код eJavaToken, нажмите «ОК», как показано ниже.
Затем вы увидите имя VPN-подключения, которое вы установили, когда нажмете значок доступа к сети.
После этих операций настройка программного обеспечения VPN-клиента завершена. Чтобы подключиться к VPN, просто дважды щелкните имя нового VPN-подключения и нажмите «Подключиться» во всплывающем диалоговом окне. Если VPN-соединение установлено успешно, справа от имени VPN-подключения появится значок подключения.
