Развертывание удаленного доступа на основе протокола L2TP

Инфраструктура сертификата для VPN-подключений на основе протокола L2TP необходима только в тех случаях, когда для проверки подлинности Вы используете смарт-карты или сертификаты пользователя, основанные на настройках реестра, а также протокол EAP-TLS. Если Вы используете только протокол проверки подлинности, основанный на проверке пароля (например, MS-CHAP v2), то инфраструктура сертификата для создания VPN-подключения не нужна.

Если Вам необходима инфраструктура сертификата для VPN-подключений на основе протокола L2TP, то Вы должны установить сертификат компьютера на сервер проверки подлинности (VPNили RADIUS-сервер), а также распространить сертификаты на смарт-карты пользователей VPN-клиентов или установить сертификаты пользователя на все компьютеры VPN-клиентов.

Для получения информации о развертывании инфраструктуры сертификата обратитесь к «Приложению Д. Развертывание инфраструктуры сертификата».

Установка сертификатов компьютера

Для установки сертификата компьютера необходимо наличие ЦС для выдачи сертификатов. После настройки выдающего ЦС Вы сможете установить сертификат компьютера следующими способами:

• 1. Настроив автоматическое размещение сертификатов компьютера в домене Windows Server. Данный метод обеспечивает централизованное управление для всего домена. Все члены домена автоматически запрашивают сертификат компьютера на основании настроек групповой политики. Для немедленного получения сертификата компьютера для VPNили IAS-сервера, входящего в домен, в котором настроена функция автоматической подачи заявок на сертификаты, перезагрузите компьютер или введите в командной строке команду secedit /refreshpolicy machine_policy. Для получения дополнительной информации о настройке автоматической подачи заявок на сертификаты компьютера, обратитесь к разделу Автоматическое получение сертификатов от центра сертификации предприятия (Configure automatic certificate allocation from an enterprise CA) справки Windows Server Server.
• 2. Используя оснастку Сертификаты (Certificates) для запроса сертификата компьютера.

Если Вы используете ЦС предприятия Windows Server в качестве выдающего ЦС, то можно запросить сертификат компьютера отдельно для каждого компьютера у выдающего ЦС, при помощи оснастки Сертификаты. Для получения дополнительной информации обратитесь к разделам Управление сертификатами компьютера (Manage certificates for a computer) и Запрос сертификата (Request a certificate) справки Windows Server Server.

3. Используя оснастку Сертификаты для импорта сертификата компьютера.

Если у Вас имеется файл, содержащий сертификат компьютера, Вы можете импортировать сертификат компьютера при помощи оснастки Сертификаты. Для получения дополнительной информации об импорте сертификата при помощи оснастки Сертификаты обратитесь к разделу Импорт и экспорт сертификатов (Import a certificate) справки Windows Server Server.

4. Запустив сценарий клиента CAPICOM, который запрашивает сертификат компьютера.

При использовании данного метода на всех компьютерах, которым необходим сертификат компьютера, должен быть выполнен сценарий CAPICOM, запрашивающий сертификат компьютера у выдающего ЦС. CAPICOM является клиентом COM, поддерживающим автоматизацию для выполнения функций шифрования (CryptoAPI) при помощи элементов управления Microsoft ActiveX и COM-объектов. CAPICOM может быть использован при помощи Visual Basic, Visual Basic Scripting Edition и C++. Для получения дополнительной информации о CAPICOM обратитесь на веб-сайт CAPICOM.