Translation(s): Русский

(!) ?Обсуждения


Требования к сертификатам, используемых с подключением от Windows 7


Требований к принятию сертификатов у релиза Windows 7 beta было не так много, но уже в Release Candidate добавили несколько новых требований для сертификата VPN-шлюза.

Обязательные для заполнения поля


Ваш сертификат VPN-шлюза должен содержать:

  1. Флаг Extended Key Usage (PKU, Расширенное Назначение Ключа) определённо точно разрешает сертификату использоваться для целей аутентификации. EKU serverAuth, имеющий OID "1.3.6.1.5.5.7.3.1" (часто называемый аутентификацией веб-сервера при помощи TLS) будет это делать. В том случае, если вы используете OpenSSL для генерации сертификатов, то установите параметр настройки

extendedKeyUsage = serverAuth

Для утилиты "ipsec pki" добавьте следующий параметр-ключ в виде аргумента

--flag serverAuth

В дополнение к serverAuth, EKU "IP Security IKE Intermediate", с OID "1.3.6.1.5.5.8.2.2" не испортит ваш сертификат, но и также позволяет вам использовать сертификат совместно со старыми релизами Mac OS X.

Таким образом это тоже будет полностью работать:

extendedKeyUsage = serverAuth, 1.3.6.1.5.5.8.2.2

--flag serverAuth --flag ikeIntermediate

2. hostname VPN-шлюза, введённый в свойствах клиентского подключения (у нового VPN-подключения к VPN-серверу) ОБЯЗАН быть либо значением поля "subjectDistinguishedName" сертификата сервера

C=CH, O=strongSwan Project, CN=vpn.strongswan.org

и/или быть значением поля "subjectAltName", которое можно добавить при помощи OpenSSL

subjectAltName = DNS:vpn.strongswan.org

или при помощи параметра-ключа в виде аргумента утилиты "ipsec pki issue"

--san vpn.strongswan.org

Для оптимального взаимодействия совместно с различными реализациями VPN-клиентов, рекомендуется включать "hostname" как "?SubjectAltName", потому что совпадение только части имени на самом деле не соответствует RFC 4945. Наличие зашифрованного "hostname" как значения поля "?SubjectAltName" необходимо при использовании Android приложения или при работе с VPN-клиентами из под Mac OS X.

Отключение расширенной проверки сертификатов


Как альтернатива, вы можете просто отключить эти расширенные проверки сертификатов на VPN-клиенте.

Обратите внимание: Это потенциально опасно, так как любой владелец сертификата, заверенный вашим центром сертификации (CA), может действовать как VPN-шлюз.

Для того, чтобы отключить расширенную проверку, добавьте параметр типа DWORD под именем "DisableIKENameEkuCheck" в следующий путь реестра VPN-клиента.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RasMan\Parameters\

Дополнительная информация


Для получения дополнительной информации о требованиях и других способах отключения проверки сертификатов, обратитесь к этой статье