Come posso creare o ottenere certificati di computer da utilizzare con l'autenticazione utente IPSEC su Windows?

Question

Come posso creare o ottenere certificati di computer da utilizzare con l'autenticazione utente IPSEC su Windows?

#1 da (1 voti)
#2 da (1 voti)

5

Ho problemi e ho bisogno di una certa direzione usando i certificati computer con le regole di sicurezza IP del firewall di Windows 7, usando i certificati solo per l'autenticazione dell'utente. Posso far funzionare tutto correttamente usando una passphrase per l'autenticazione dell'utente. Tuttavia, vorrei utilizzare i certificati.

Non riesco a trovare alcuna documentazione sui requisiti per creare certificati per l'autenticazione utente IPSEC.

Ho utilizzato makecert per creare la CA di terze parti, quindi ho creato alcuni certificati utilizzando il seguente ekus:

Server Authentication EKU is        1.3.6.1.5.5.7.3.1
IP security IKE intermediate EKU is 1.3.6.1.5.5.8.2.2
Client Certificate EKU is           1.3.6.1.5.5.7.3.2

Qualcuno sa di una buona risorsa o documentazione per il firewall di Windows 7 che include questo messaggio? O qualcuno ha creato questo tipo di certificati prima e sarebbe disposto ad aiutarmi?

windows authentication certificates ipsec

posta Fiber 20.04.2013 - 02:24

fonte

2 risposte

Leggi altre domande sui tag windows authentication certificates ipsec

L'iniezione SQL non restituisce risultati previsti Autenticazione degli utenti su dispositivi offline come ipad

score 1 · Answer 1

Per creare i certificati e richiedere al server di utilizzare l'autenticazione dei certificati, dai un'occhiata a questa risorsa: link

Per ottenere i certificati, il seguente è un modo pratico per farlo su HTTPS in modo che non sia necessario entrare nella riconfigurazione dei set di regole del firewall per consentire: link

score 1 · Answer 2

Ho appena creato una VPN site-to-site IPSEC che ha richiesto alcuni ExtendedKeyUsage e ho fatto qualche ricerca al riguardo.

L'ExtendedKeyUsage per Internet Key Exchange era deprecato da RFC4945

The CA SHOULD NOT include the ExtendedKeyUsage (EKU) extension in certificates for use with IKE. Note that there were three IPsec-
related object identifiers in EKU that were assigned in 1999. The
semantics of these values were never clearly defined. The use of
these three EKU values in IKE/IPsec is obsolete and explicitly
deprecated by this specification. CAs SHOULD NOT issue certificates
for use in IKE with them. (For historical reference only, those
values were id-kp-ipsecEndSystem, id-kp-ipsecTunnel, and id-kp-
ipsecUser.)

Se questo certificato verrà utilizzato solo per IKE / IPSEC, il consiglio è di impostare KeyUsage su digitalSignature, nonRepudiation o entrambi.

IKE uses an end-entity certificate in the authentication process. The end-entity certificate may be used for multiple applications. As such, the CA can impose some constraints on the manner that a public key ought to be used. The KeyUsage (KU) and ExtendedKeyUsage (EKU) extensions apply in this situation.

Since we are talking about using the public key to validate a
signature, if the KeyUsage extension is present, then at least one of the digitalSignature or the nonRepudiation bits in the KeyUsage
extension MUST be set (both can be set as well). It is also fine if
other KeyUsage bits are set.

A summary of the logic flow for peer cert validation follows:

o If no KU extension, continue.

o If KU present and doesn't mention digitalSignature or nonRepudiation (both, in addition to other KUs, is also fine), reject cert.

o If none of the above, continue.