Установка своего сертификата для RDP
Чисто для себя заметка
Можно ли каким-то образом, в клиентской винде не входящей в AD, для сервера удалённых рабочих столов установить свой сертификат?
Чего только не перепробовал, но после удаления сертификата и перезапуска «Службы удаленных рабочих столов» создаётся новый самоподписанный сертификат, а все мои игнорируются.
Цитата: Добавляем NETWORK SERVICE (права Чтение). Про это я не знал!
Цитата: Идем в реестр . добавляем Binary Value (Value name: SSLCertificateSHA1Hash ; Value data: ). Для этого дела есть скрипт — запускать с такими параметрами:
Код: cscript rdconfig.js
(если лень пробелы их хеша убирать, то можно в кавычки его)
Настройка доверенных SSL/TLS сертификатов для защиты RDP подключений
В этой статье мы покажем, как использовать доверенные SSL/TLS сертификаты для защиты RDP подключений к компьютерам и серверам Windows в домене Active Directory. Эти сертфикаты мы будем использовать вместо самоподписанных RDP сертификатов (у пользователей появляется предупреждение о невозможности проверки подлинности при подключению к RDP хосту с таким сертификатом). В этом примере мы настроим специальный шаблон для выпуска RDP сертификатов в Certificate Authority и настроим групповую политику для автоматического выпуска и привязки SSL/TLS сертификата к службе Remote Desktop Services.
Предупреждение о самоподписанном сертификате RDP
По умолчанию в Windows для защиты RDP сессии генерируется самоподписанный
сертификат. В результате при первом подключении к RDP/RDS серверу через клиента mstsc.exe, у пользователя появляется предупреждение:
Чтобы продолжить установление RDP подключении пользователь должен нажать кнопку Да. Чтобы RDP предупреждение не появлялось каждый раз, можно включить опцию “Больше не выводить запрос о подключениях к этому компьютеру».
Создаем шаблон RDP сертификата в центре сертификации (CA)
Попробуем использовать для защиты RDP подключений доверенный SSL/TLS сертификат, выданный корпоративным центром сертификации. С помощью такого сертификата пользователь может выполнить проверку подлинности RDP сервера при подключении. Предположим, что у вас в домене уже развернут корпоративной центр сертификации (Microsoft Certificate Authority), в этом случае вы можете настроить автоматическую выдачу и подключение сертификатов всем компьютерам и серверам Windows в домене.
Н на вашем CA нужно создать новый тип шаблона сертификата для RDP/RDS серверов.
Настройка групповой политики для выдачи RDP сертификатов
Теперь нужно настроить доменную политику, которая будет автоматически назначать RDP сертификат компьютерам/серверам согласно настроенного шаблона.
Для применения нового RDP сертификата, перезапустите службу Remote Desktop Services:
Теперь при RDP подключении к серверу перестанет появляться запрос на доверие сертификату (чтобы появился запрос о доверии сертификату, подключитесь к серверу по IP адресу вместо FQDN имени сервера, для которого выпущен сертификат). Нажмите кнопку “Посмотреть сертификат”, перейдите на вкладку “Состав”, скопируйте значение поля “Отпечаток сертификата”.
Также можете в консоли Certification Authority в секции Issued Certificates проверить, что по шаблону RDPTemplate был выдан сертификат определённому Windows компьютеру/серверу. Также проверьте значение Thumbprint сертификата:
Теперь, при подключении к удаленном столу любого сервера или компьютера, на который действует эта политика, вы не увидите предупреждения о недоверенном RDP сертификате.
Подписываем RDP файл и добавляем отпечаток доверенного RDP сертификата
Если у вас отсутствует CA, но вы хотите, чтобы при подключении к RDP/RDS серверу у пользователей не появлялось предупреждения, вы можете добавить сертификат в доверенные на компьютерах пользователей.
Как описано выше получите значение отпечатка (Thumbprint) RDP сертификата:
Используйте этот отпечаток для подписывания .RDP файла с помощью RDPSign.exe:
Чтобы работал прозрачных RDP вход без ввода пароля (RDP Single Sign On), нужно настроить политику Allow delegation defaults credential и указать в ней имена RDP/RDS серверов (см. статью).
Как настроить RDP на Виндовс 10
Традиционный сценарий использования ПК предполагает, что вы подходите к компьютеру, садитесь в кресло и физически контактируете с устройством. Однако есть и другой вариант — настройка RDP Windows 10 и использование удаленного подключения. У такого метода масса достоинств: не нужно тратить время, чтобы добраться до рабочего места, можно со слабого устройства выполнять задачи на более мощном компьютере или даже попросить более компетентного специалиста подключиться и оказать помощь.
Настройка RDP на Windows 10
Но прежде, чем браться за настройку RDP в Windows 10, убедитесь, что у вас установлена версия Pro или выше: в Home отключены нужные системные компоненты. Плюс, потребуется защитить паролем вашу учетную запись:
Включение доступа и добавление пользователей
Первый шаг настройки – корректировка настроек Windows 10, чтобы сделать соединение через интернет с использованием RDP в принципе возможным. Откройте Пуск и нажмите на шестеренку Параметры.
Откройте раздел с настройкой системы.
Просмотрите детальные сведения (можно сразу открыть этот экран комбинацией Win-Pause или Win-Break).
Запомните, какое имя указано для компьютера. Далее перейдите к настройке удаленного доступа.
Если в системе настроено автоматическое переведение в «спячку», то будет показано предупреждение.
Нажмите Электропитание и далее настройки схемы, чтобы убрать помехи к использованию RDP в Win 10.
Выберите из списка «Никогда», если хотите, чтобы ПК был постоянно доступен.
Альтернативный способ – активировать режим повышенной производительности, тогда компьютер не будет отключаться.
В подразделе удаленного рабочего стола разрешите подключаться к компьютеру.
При желании можно провести настройку RDP Windows 10 для нескольких пользователей, нажав кнопку чуть ниже переключателя.
По умолчанию доступ дается администраторам, но можно добавить произвольного пользователя (например, специально созданного для этих целей).
Впишите его имя в системе.
Пользователь появится в списке допуска к RDP.
Настройка и управление IP
Вместо имени компьютера часто используется IP. Чтобы его просмотреть, правым кликом по значку текущего подключения вызовите Центр управления сетями.
Далее кликните непосредственно по каналу связи с интернетом (например, Ethernet) для просмотра состояния.
В просмотре состояния нажмите Сведения.
Отобразится детальная информация, из которой нужно запомнить или записать IP.
Если адрес выдается динамическим образом, то при повторных включениях ПК он может измениться, и тогда потребуется его каждый раз заново узнавать. Вместо этого, иногда настраивают статический адрес, который остается неизменным при перезагрузках.
Важно! Если у вашей сети есть ответственный администратор, проконсультируйтесь с ним о допустимости такой настройки. Впрочем, это относится и к разрешению удаленного доступа в целом.
В окне просмотра состояния перейдите к свойствам. Далее выберите протокол IPv4 и откройте детальный просмотр.
В качестве адреса укажите значение, которое не попадает в используемый для динамического использования диапазон. Соответствующую настройку можно опять-таки найти в роутере.
Традиционно маска указывается в виде 255.255.255.0, так что IP должен отличаться от адреса шлюза (его не меняем) только последним числом.
Если используется фиксированный адрес и прямое подключение (то есть у вашего ПК «белый» IP, уточните данную информацию у своего провайдера), его также можно просмотреть при помощи внешних сервисов вроде https://2ip.ru.
Настройка порта RDP
Если система, которой выполняется RDP подключение, находится за роутером, то может потребоваться настройка порта. Для этого стандартным образом подключитесь к роутеру через веб-интерфейс (используемый для этого адрес необходимо уточнить в инструкции к оборудованию). Далее найдите в настройках раздел Port Forwarding (перенаправление портов). Потребуется добавить в него правило со следующими параметрами:
После этого станет возможно подключаться удаленно и работать с ПК.
Подключение к удаленному рабочему столу в Windows 10
После настройки для подключения в режиме RDP можно использовать стандартную программу.
Минимальные требования для соединения – указать имя или IP целевого компьютера.
Далее система сама запросит данные для входа в учетную запись. Используйте один из тех аккаунтов, которые добавили на этапе настройки. Можно поставить галочку, чтобы в будущем не вводить их заново.
Если показывается уведомление об отсутствии сертификата, его допустимо проигнорировать (вы же уверены в своем ПК, верно?).
Также в окне подключения можно раскрыть детальные параметры подключения:
Важно! В отличие от настройки RDP на Windows Server 2016, здесь одновременно работать может только один пользователь, независимо от того, прямо за компьютером или удаленно. Так что если попробуете подключиться к системе, куда уже кто-то вошел, появится предупреждение. Можно или отключить активного пользователя, или самому подключиться позже.
Если вам нужно настроить РДП с одновременной работой, переходите на серверные ОС, такие как Windows Server 2012 r2.
После этого откроется окно с удаленной системой. По умолчанию режим полноэкранный, а сверху показывается панель подключения.
Чтобы полностью выйти в меню Пуск удаленной машины выберите «Отключиться».
Устранение неполадок при подключении к удаленному рабочему столу
Если брандмауэр Windows не дает соединиться, откройте его настройки в параметрах.
Нажмите на изменение параметров над списком.
Укажите для удаленного рабочего стола обе галочки.
В случае, если не срабатывает подключение по порту, нужно уточнить наличие такой возможности у провайдера.
Если показывается ошибка об отсутствии ответа со стороны ПК, к которому вы подключаетесь – убедитесь, что он вообще включен и что он не ушел в спящий режим.
Также может потребоваться переключить в параметрах, в разделе подключения, тип сети с общественной на доверенный.
Выберите частную, в противном случае компьютер может быть не виден даже при работе по локальной сети.
Как установить сертификаты узла удаленных рабочих столов
Существует множество ситуаций, когда необходимо удаленно подключиться к рабочему столу компьютера. Однако, для безопасного удаленного доступа необходимо установить сертификаты узла удаленных рабочих столов. В данной статье мы расскажем, как это сделать.
Генерация сертификата на сервере удаленных рабочих столов
Первый шаг – генерация сертификата на сервере удаленных рабочих столов. Чтобы это сделать, нужно выполнить следующие действия:
1. Запустить утилиту О Сервере (Server Manager) и выбрать пункт Удаленный рабочий стол
2. Нажать Параметры коллекции
3. На вкладке Безопасность нажать Общие параметры
5. Установить необходимые параметры и нажать ОК
Установка сертификатов на компьютере клиента
После того, как сертификат был сгенерирован на сервере удаленных рабочих столов, необходимо установить его на компьютере клиента. Для этого нужно выполнить следующие действия:
1. Скопировать сертификат с сервера удаленных рабочих столов на компьютер клиента
2. Запустить утилиту Установка сертификатов (Certmgr.msc)
3. Выбрать локальную группу хранилищ сертификатов и нажать Добавить
4. Выбрать файл сертификата и нажать ОК
Настройка параметров соединения на компьютере клиента
Чтобы подключиться к серверу удаленных рабочих столов, необходимо настроить параметры соединения на компьютере клиента. Для этого нужно выполнить следующие действия:
1. Запустить удаленный рабочий стол на компьютере клиента
3. На вкладке Дополнительно нажать Сертификаты
4. Выбрать установленный сертификат и нажать ОК
5. Установить необходимые параметры соединения и нажать ОК
Итог
Установка сертификатов узла удаленных рабочих столов достаточно проста и необходима для безопасности удаленного доступа к компьютеру. Благодаря выполнению всех перечисленных выше шагов, удаленное подключение к компьютеру будет защищено от несанкционированного доступа.
В настоящее время удаленный доступ к рабочим столам наиболее популярный способ увеличить производительность работы и улучшить коммуникацию между сотрудниками, особенно в период телеработы и удаленной работы. Но как безопасно передавать данные между удаленными рабочими столами и юзерами?
Один из лучших способов защиты данных — это зашифрованные сертификаты узла удаленного рабочего стола. К счастью, установка сертификатов — это довольно простое дело.
Генерация сертификатов на сервере удаленного рабочего стола
Первым шагом к установке сертификатов на удаленном рабочем столе является генерация сертификатов на сервере удаленного рабочего стола. Это позволит зашифровать обмен данными между пользователями и сервером.
Не забывайте, что генерация сертификатов может быть выполнена только администратором сервера удаленного рабочего стола.
Загрузка и установка сертификатов на компьютерах пользователей
После того, как вы сгенерировали сертификаты на сервере удаленного рабочего стола, необходимо загрузить и установить их на компьютерах пользователей. Для этих целей необходимо использовать установочные пакеты (PLIST) и распространять их среди всех желающих пользователях.
Настройка удаленного рабочего стола, чтобы использовать сертификаты
Когда пользователи загрузят и установят сертификаты на своих компьютерах, вы можете настроить удаленный рабочий стол для использования сертификатов при подключении к серверу. Для этого необходимо настроить удаленный рабочий стол для использования сертификатов, которые были загружены и установлены пользователем.
Предоставьте адрес удаленного рабочего стола, имя пользователя, пароль и нажмите «Подключение». Если все настроено правильно, вы успешно подключитесь к удаленному рабочему столу на вашем компьютере.
Надеюсь, что эта статья помогла вам установить сертификаты узла для удаленных рабочих столов. С помощью этого процесса вы можете с легкостью обеспечить безопасность своих данных при удаленной работе. Если вы столкнулись с проблемами, обязательно обратитесь к компетентным специалистам, чтобы получить необходимую помощь и решение проблем.
з а щ и щ ё н н а я
Ручная настройка IPsec VPN в Windows
Для начала убедитесь, что у Вас есть файл с сертификатом (vpn-key.p12).
Если Вы получали установочную программу, то просто распакуйте её как архив (это можно сделать с помощью WinRAR или 7-Zip).
Импорт сертификата
Откройте инструмент управления сертификатами. Для этого:
WinKey — клавиша со значком Windows.
В основном окне теперь появится раздел Сертификаты (локальный компьютер).
Раскройте его, а затем нажмите правой кнопкой мыши на папке Личное, выберите меню Все задачи, а в нём — команду Импорт.
В диалоге импорта не требуется менять значение полей, за исключением указания пути к файлу сертификата..
Внимание: в диалоге выбора файла нужно изменить тип (расширение) с Сертификат X.509 на Файлы обмена личной информации, иначе файл ключа (vpn-key.p12) не будет в нём виден.
На последнем шаге импорта Вы должны увидеть страницу с параметрами, как на изображении справа.
Теперь в разделе Личное (подраздел Сертификаты) будет 2 записи: одна для Центра сертификации (ЦС), другая для клиентского сертификата.
Перетащите запись ЦС в раздел Доверенные корневые центры сертификации.
В результате в Личное останется только клиентский сертификат.
Убедитесь, что всё сделано верно, сделав двойной клик на записи клиентского сертификата — в окне с информации не должно быть предупреждения о том, что сертификат не удалось проверить, проследив его до доверенного центра сертификации.
Теперь консоль и все другие окна можно закрыть.
Создание VPN-соединения
Откройте Панель управления, и в ней — раздел Центр управления сетями и общим доступом.
Создайте новое подключение:
Откройте параметры подключения (всё из того же Центра управления сетями):
На этом настройка завершена.
Подключение к VPN
Этот шаг нужно выполнять при каждом подключении к Интернету (то есть при выключении компьютера, смене пользователя и в других случаях).
Чтобы это происходило автоматически, можно создать задание в системном Планировщике (событие: Microsoft-Windows-NetworkProfile/Выполняется, код события: 10000).
Подключиться к VPN можно двумя способами:
Доступ к сетевому диску
При активном VPN-подключении открывается доступ к общим файлам (сетевому диску).
Для проверки работоспособности откройте Проводник и перейдите по адресу \s.dovd.ru — должен появиться диалог с запросом имени пользователя и пароля для входа.
Удобнее всего работать с общими документами посредством сетевого диска. Для этого откройте в Проводнике Мой компьютер и выберите команду Подключить сетевой диск из меню Компьютер. Укажите следующие параметры:
Буква диска может быть любой. По этой букве будут доступны общие файлы.
Настройка брандмауэра (firewall)
По умолчанию, исходящие соединения в Windows не блокируются.
Vpn по сертификату windows 10
Сегодня хочу рассказать как просто и быстро настроить VPN соединение в windows 10 и 7
Простая инструкция без вступлений и разжевывания что такое VPN и RDP. Подробности и теория тут если хотите знать более углубленно.
Необходимый минимум для доступа по VPN
Администратор сервиса к которому вы подключаетесь по средствам VPN открывает вам доступ и выдает вам:
IP адрес — устройства к которому подключаетесь(может быть в виде URL ссылки).
Ключ идентификации в виде файла или набора символов (своего рода пароль),в зависимости от типа подключения
Настраиваем соединение в windows 10
Слева в нижнем углу экрана выбираем меню «Пуск», настройки, выбираем пункт «сети и интернет».
В открывшемся окне соответственно выбираем пункт VPN и Добавить vpn — подключение.
Перед вами откроется окно настройки, непосредственно самого подключения, в котором необходимо ввести данные, в соответствующие поля, о которых говорилось выше.
Поставщик услуг — Windows (встроенные)
Имя подключения — например Работа, просто называете данное соединение чтоб в последствии знать что это за подключение.
Имя или адрес сервера — как правило IP адрес (выглядит примерно так 222.578.45.8.78), иногда URL ссылка (http:\saitprostoi)
Тип VPN — что выбрать в данном пункте вам должен сообщить администратор. Как правило используют L2TP/IPsec с предварительным ключом, и выбрав этот пункт добавится еще одно поле куда нужно будет вставить набор символов (этот самый ключ).
Если выбрать более защищенное соединение, например L2TP/IPsec с сертификатом, то сертификат этот должен быть предварительно вам предоставлен и установлен на ваш ПК.
Пароль — соответственно пароль
Ниже оставляем галочку в поле запомнить и нажимаем сохранить.
При использовании L2TP/IPsec с предварительным ключом выглядит так
В последствии созданное подключение можно найти и посмотреть его статус, а так же отключить или подключить в правом нижнем углу щелкнув по значку сети или в параметрах сетей, там где настраивали.
Настраиваем соединение в windows 7
Тут все относительно просто но более заморочено чем в 10 версии windows.
Итак по порядку, открываем пуск — панель управления — цент управления сетями и общим доступом, затем в открывшемся окне настройка нового подключения
Откроется выбор типа подключения, выбираем VPN подключение к рабочему месту, затем использовать прямое подключение к Интернет
Второй вариант это если у вас нет интернета или вы на прямую подключаетесь по телефону к удаленному устройству.
В следующем окне заполняем поля
Интернет адрес — как правило IP адрес (выглядит примерно так 222.578.45.8.78), иногда URL ссылка (http:\saitprostoi)
Имя место назначения — например Работа, просто называете данное соединение чтоб в последствии знать что это за подключение.
Нажав Далее заполняем поля
Нажимаем создать и закрыть, без подключения.
Теперь как правило нам нужно указать наш L2TP/IPsec предварительный ключ или возможно другой параметр дополнительной защиты.
В процессе создания подключения его мы указать и задать не можем.
Подключение создано и теперь открываем его настройки в правом нижнем углу наводим на значок сетей щелкаем левой кнопкой и видим наше созданное VPN соединение. Правой кнопкой щелкаем по нему и выбираем свойства.
Откроется окно в котором выберите вкладку Безопасность, в окне тип VPN выбираем нашу защиту L2TP/IPsec VPN
Ниже нажимаем дополнительные параметры и выбрав, установкой галочки на против пустого окна ключ — собственно вводим туда наш ключ.
Как бы все теперь ок — ок
Для подключения выбираем сеть и подключить.
Напоминаю ключ и все параметры вам должен предоставить ваш системный администратор.
Создание и экспорт сертификатов для пользовательских VPN-подключений
Для аутентификации пользовательских VPN-подключений типа «точка — сеть» используются сертификаты. Эта статья поможет создать самозаверяющий корневой сертификат, а также сертификаты клиента с помощью PowerShell в Windows 10 или Windows Server 2016.
Выполните описанные действия на компьютере с Windows 10 или Windows Server 2016. Командлеты PowerShell, которые используются для создания сертификатов, являются частью операционной системы и не работают в других версиях Windows. Компьютер с Windows 10 или Windows Server 2016 требуется только для создания сертификатов. После создания сертификатов их можно отправить или установить в любой поддерживаемой клиентской операционной системе.
Создание самозаверяющего корневого сертификата
Используйте командлет New-SelfSignedCertificate для создания самозаверяющего корневого сертификата. Дополнительные сведения о параметре см. в разделе New-SelfSignedCertificate.
На компьютере под управлением Windows 10 или Windows Server 2016 откройте консоль Windows PowerShell с повышенными привилегиями. Эти примеры не запускаются через кнопку «Попробовать» в Azure Cloud Shell. Их нужно запустить локально.
Оставьте консоль PowerShell открытой и перейдите к следующим шагам, чтобы создать сертификат клиента.
Создание сертификата клиента
На каждом клиентском компьютере, который подключается к виртуальной сети с помощью подключения типа «точка —сеть», должен быть установлен сертификат клиента. Вы можете создать сертификат клиента из самозаверяющего корневого сертификата, а затем экспортировать и установить его. Если сертификат клиента не установлен, произойдет сбой аутентификации.
Ниже описан способ создания сертификата клиента из самозаверяющего корневого сертификата. Из одного корневого сертификата можно создать несколько сертификатов клиента. При создании сертификатов клиента с помощью приведенных ниже инструкций сертификат клиента автоматически устанавливается на компьютер, который использовался для его создания. Если вы хотите установить сертификат клиента на другой клиентский компьютер, его можно экспортировать.
В примерах используется командлет New-SelfSignedCertificate для создания сертификата клиента, срок действия которого истекает через год. Дополнительные сведения о параметре, например о задании другого значения срока действия сертификата клиента, см. в разделе New-SelfSignedCertificate.
Пример 1. Сеанс консоли PowerShell по-прежнему открыт
Если вы создаете дополнительные сертификаты клиента или не используете тот же сеанс PowerShell, в котором был создан самозаверяющий корневой сертификат, выполните следующее.
Определите самозаверяющий корневой сертификат, установленный на компьютере. Этот командлет возвращает список сертификатов, установленных на компьютере.
Найдите имя субъекта в полученном списке, а затем скопируйте отпечаток, расположенный рядом с ним, в текстовый файл. В следующем примере указано два сертификата. CN-имя — это имя самозаверяющего корневого сертификата, на основе которого требуется создать дочерний сертификат. В данном случае это P2SRootCert.
Объявите переменную для корневого сертификата, используя отпечаток из предыдущего шага. Замените THUMBPRINT отпечатком корневого сертификата, на основе которого требуется создать дочерний сертификат.
Например, если использовать отпечаток для P2SRootCert из предыдущего шага, то переменная будет выглядеть следующим образом.
Экспорт открытого ключа корневого сертификата (. cer)
После создания самозаверяющего корневого сертификата экспортируйте CER-файл его открытого ключа (не закрытый ключ). В дальнейшем вы загрузите этот файл в Azure. Чтобы экспортировать CER-файл для самозаверяющего корневого сертификата, сделайте следующее:
В окне мастера нажмите Далее.
Выберите Нет, не экспортировать закрытый ключ и снова нажмите кнопку Далее.
На странице Формат экспортируемого файла выберите Файлы X.509 (.CER) в кодировке Base-64 и нажмите кнопку Далее.
На странице Имя экспортируемого файла нажмите кнопку Обзор, чтобы перейти в расположение для экспорта сертификата. В поле Имя файла введите имя для файла сертификата. Затем щелкните Далее.
Нажмите кнопку Готово, чтобы выполнить экспорт сертификата.
Сертификат успешно экспортирован.
Экспортированный сертификат выглядит примерно так:
Если открыть экспортированный сертификат в Блокноте, результат будет приблизительно таким, как в приведенном ниже примере. Выделенный синим цветом раздел содержит сведения, которые загружены в Azure. Если при открытии сертификата в Блокноте он не выглядит, как приведенный ниже пример, как правило, это означает, что экспорт выполнен не в формате X.509 (.CER) с кодировкой Base64. Кроме того, при использовании другого текстового редактора следует учитывать, что в некоторых редакторах может выполняться непреднамеренное форматирование в фоновом режиме. Это может вызвать проблемы при передаче текста из этого сертификата в Azure.
Экспорт самозаверяющего корневого сертификата и закрытого ключа для его сохранения (необязательно)
Может возникнуть необходимость экспортировать самозаверяющий корневой сертификат и сохранить его как резервную копию в надежном месте. При необходимости позже можно будет установить его на другом компьютере и создать дополнительные сертификаты клиента. Чтобы экспортировать самозаверяющий корневой сертификат в формате PFX, выберите корневой сертификат и выполните те же действия, что описаны в разделе Экспорт сертификата клиента.
Экспорт сертификата клиента
Созданный сертификат клиента автоматически устанавливается на компьютере, который использовался для его создания. Если вы хотите установить созданный сертификат клиента на другой клиентский компьютер, то его необходимо экспортировать.
В мастере экспорта сертификатов нажмите кнопку Далее, чтобы продолжить.
Выберите Да, экспортировать закрытый ключ, а затем нажмите кнопку Далее.
На странице Формат экспортируемого файла оставьте настройки по умолчанию. Не забудьте установить флажок Включить по возможности все сертификаты в путь сертификации. При этом также будут экспортированы данные корневого сертификата, необходимые для успешной аутентификации клиента. Без этих данных аутентификация клиента завершится ошибкой, так как у клиента не будет доверенного корневого сертификата. Затем щелкните Далее.
На странице Безопасность следует защитить закрытый ключ. Если вы решите использовать пароль, обязательно запишите или запомните пароль, заданный для этого сертификата. Затем щелкните Далее.
Создание и установка файлов конфигурации VPN-клиента для проверки подлинности на основе сертификатов при подключении «точка — сеть»
При подключении к виртуальной сети Azure через подключения «точка — сеть» с проверкой подлинности на основе сертификатов обычно используется встроенный VPN-клиент операционной системы, с которой устанавливается такое подключение. Все необходимые параметры конфигурации для VPN-клиентов содержатся в ZIP-файле конфигурации VPN-клиента. Параметры в ZIP-файле помогут вам настроить VPN-клиенты для Windows, Mac IKEv2 VPN или Linux.
Создаваемые файлы конфигурации VPN-клиента работают только с конфигурацией VPN-шлюза «точка — сеть» для виртуальной сети. Если в конфигурацию VPN типа «точка — сеть» вносятся изменения после создания файлов (например, изменяется тип протокола VPN или тип проверки подлинности), необходимо создать новые файлы конфигурации VPN-клиента и применить эту новую конфигурацию ко всем VPN-клиентам, которые вы хотите подключить.
Начиная с 1 июля 2018 года прекращается поддержка TLS 1.0 и TLS 1.1 в VPN-шлюзе Azure. VPN-шлюз будет поддерживать только TLS 1.2. Затрагиваются только подключения «точка — сеть». Подключения «сеть — сеть» не затрагиваются. Если вы используете TLS для VPN-подключений «точка — сеть» на клиентах Windows 10, не нужно предпринимать никаких действий. Если вы используете TLS для подключений «точка — сеть» клиентов Windows 7 и Windows 8, обратитесь к разделу Собственная аутентификация Azure с использованием сертификата для подключений типа «точка — сеть» за инструкциями по обновлению.
Создание файлов конфигурации VPN-клиента
Вы можете создать файлы конфигурации клиента с помощью PowerShell или с помощью портала Azure. И в первом, и во втором случае возвращается один и тот же ZIP-файл. Распакуйте файл. Отобразятся следующие папки:
Создание файлов с помощью портала Azure
На портале Azure перейдите в шлюз виртуальной сети, к которой необходимо подключиться.
После создания пакета конфигурации браузер выявляет, что доступен ZIP-файл конфигурации клиента. Он получает такое же имя, как у вашего шлюза. Распакуйте файл. После этого отобразятся папки.
Создание файлов с помощью PowerShell
При создании файлов конфигурации VPN-клиента установите для параметра AuthenticationMethod значение EapTls. Создайте конфигурацию VPN-клиента с помощью следующей команды:
На каждом клиентском компьютере Windows можно использовать один и тот же пакет конфигурации VPN-клиента, если его версия соответствует архитектуре клиента. Список поддерживаемых клиентских операционных систем см. в разделе с описанием подключений типа «точка — сеть» в статье VPN-шлюз: вопросы и ответы.
Вам потребуются права администратора для клиентского компьютера Windows, с которого устанавливается подключение.
Чтобы подключиться к Azure, необходимо вручную настроить собственный VPN-клиент IKEv2. Azure не предоставляет файл mobileconfig. В папке Generic можно найти все необходимые для конфигурации сведения.
Если папки Generic нет в скачанных файлах, вполне вероятно, что IKEv2 не был выбран в качестве типа туннеля. Обратите внимание, что VPN-шлюз со SKU «Базовый» не поддерживает IKEv2. В VPN-шлюзе убедитесь в том, что номер SKU отличается от базового. Затем выберите IKEv2 и создайте ZIP-файл еще раз для получения папки Generic.
Эта папка содержит следующие файлы:
Чтобы настроить на устройстве Mac собственный VPN-клиент для аутентификации на основе сертификата, сделайте следующее: Эти действия необходимо выполнить на каждом компьютере Mac, который нужно подключить к Azure.
Импорт файла корневого сертификата
Скопируйте файл корневого сертификата на компьютер Mac. Дважды щелкните сертификат. Сертификат будет либо установлен автоматически, либо появится страница Добавление сертификатов.
На странице Добавление сертификатов выберите Вход в раскрывающемся списке.
Чтобы импортировать файл, щелкните Добавить.
Проверка установки сертификата
Убедитесь в том, что установлены как сертификат клиента, так и корневой сертификат. Этот сертификат клиента требуется для аутентификации. Инструкции по установке сертификата клиента см. в разделе Установка сертификата клиента для аутентификации Azure на основе сертификата при подключениях типа «точка — сеть».
Откройте приложение Keychain Access (Доступ к цепочке ключей).
Перейдите на вкладку Сертификаты.
Создание профиля VPN-клиента
В раскрывающемся списке Интерфейс выберите VPN.
В раскрывающемся списке Тип VPN выберите IKEv2. В поле Имя службы укажите понятное имя для профиля.
Нажмите кнопку Создать, чтобы создать профиль подключения VPN-клиента.
В папке Generic откройте файл VpnSettings.xml в текстовом редакторе и скопируйте значение тега VpnServer.
Вставьте значение тега VpnServer в поля профиля Адрес сервера и Удаленный ИД.
Настройте параметры проверки подлинности. Есть два набора инструкций. Выберите инструкции, соответствующие вашей версии ОС.
В разделе Параметры проверки подлинности выберите Нет.
Выберите Сертификат, щелкните Выбрать и выберите правильный сертификат клиента, установленный ранее. Затем нажмите кнопку ОК.
Щелкните Параметры проверки подлинности и выберите Сертификат.
Щелкните Выбрать, чтобы открыть страницу Выбор удостоверения. На странице Выбор удостоверения приводится список доступных сертификатов. Если вы не уверены, какой сертификат следует использовать, можно щелкнуть Показать сертификат, чтобы просмотреть дополнительные сведения о каждом сертификате.
Выберите нужный сертификат, а затем нажмите кнопку Continue (Продолжить).
На странице Параметры проверки подлинности убедитесь в том, что отображается правильный сертификат, а затем нажмите кнопку ОК.
Нажмите кнопку Применить, чтобы сохранить все изменения.
Выберите Подключиться, чтобы установить подключение «точка — сеть» к виртуальной сети Azure.
Linux (графический пользовательский интерфейс strongSwan)
В приведенных ниже шагах использовалась следующая конфигурация:
Чтобы установить необходимую конфигурацию strongSwan, используйте следующие команды:
Чтобы установить интерфейс командной строки Azure, используйте следующую команду:
Создание сертификатов
Если вы еще не создали сертификаты, выполните указанные ниже действия.
Создайте сертификат ЦС.
Выведите на экран сертификат ЦС в формате base64. Это формат, поддерживаемый Azure. Этот сертификат нужно загрузить в Azure при выполнении шагов по конфигурации подключения типа «точка — сеть».
Создайте сертификат пользователя.
Создайте пакет p12, содержащий сертификат пользователя. Этот пакет понадобится на следующих шагах при работе с файлами конфигурации клиента.
Установка и настройка.
Приведенные ниже инструкции были созданы в Ubuntu 18.0.4. Ubuntu 16.0.10 не поддерживает графический пользовательский интерфейс strongSwan. Использовать Ubuntu 16.0.10 можно только с помощью командной строки. В зависимости от версии Linux и strongSwan указанные ниже примеры могут отличаться от экранов, которые вы видите.
Откройте приложение Terminal, чтобы установить strongSwan и его Network Manager, выполнив команду из примера.
В меню выберите IPSec/IKEv2 (strongSwan) и дважды щелкните.
На странице Add VPN (Добавление VPN) добавьте имя VPN-подключения.
Вставьте это имя в поле Address (Адрес) нового VPN-подключения в разделе Gateway (Шлюз). Затем щелкните значок папки в конце поля Certificate (Сертификат), перейдите в папку Generic и выберите файл VpnServerRoot.
Linux (strongSwan CLI)
Загрузите пакет VPN-клиента с портала Azure.
Из папки Generic копируйте или переместите файл VpnServerRoot.cer в папку /etc/ipsec.d/cacerts.
Измените значения в приведенном ниже примере, а затем добавьте этот код в файл конфигурации /etc/ipsec.conf.
Добавьте следующие значения в файл /etc/ipsec.secrets.
Выполните следующие команды:
Дальнейшие действия
Вернитесь к исходной статье, из которой вы перешли, а затем завершите настройку P2S.
Время на прочтение
В этой статье я хочу рассказать о полученном опыте организации удалённого доступа к промышленному программируемому логическому контроллеру (далее — ПЛК) посредством бюджетного решения на базе интернет-центра KEENETIC 4G.
Данная статья будет особенно интересна специалистам в области АСУТП, которые задались вопросом организации удалённого доступа, но не знали с чего начать.
Итак, начнём!
В данном примере рассмотрим наиболее часто встречающийся вариант, а именно:
Наличие внешнего белого IP — адреса на одной из сторон является необходимым условием работы OpenVPN сервера (сервер OpenVPN должен быть расположен на стороне белого IP — адреса).
Для организации VPN соединения между Интернет-центром KEENETIC и рабочем местом нам необходимо установить следующее ПО:
Установка пакета OpenVPN на Windows.
Устанавливаем компонент EasyRSA (для создания сертификатов встроенными средствами (необязательно).
В случае вывода сообщения об установке драйвера, нажимаем «установить».
В случае, если требуется установить несколько виртуальных адаптеров или если виртуальный адаптер был некорректно установлен, то переходим по нижеприведённому адресу и запускаем «addtab.bat» скрипт:
C:Program FilesTAP-Windowsin
Создание X. 509 сертификатов
XCA — программа для лёгкого создания сертификатов с графическим интерфейсом
Создаём БД
Создаём сертификат удостоверяющего центра (CA)
Для этого переключаемся на вкладку «Сертификаты» и нажимаем на кнопку «Новый сертификат»
Далее переключаемся на вкладку «Субъект» и заполняем необходимые поля (то, что выделено красным должно иметь уникальное имя).
Нажимаем «Сгенерировать новый ключ» и подтверждаем действие нажатием кнопки «создать».
Переключаемся на вкладку «Расширения», выбираем тип сертификата «Центр Сертификации» и настраиваем срок действия сертификата (сертификат CA должен иметь более длительный срок действия, чем сертификаты компьютера, которые будут созданы позже.)
Нажимаем «ОК» и теперь мы можем приступить к настройке сертификатов компьютера.
Создание шаблонов сертификатов компьютера
Для упрощения создания машинных сертификатов будем использовать заранее приготовленный шаблон. Переключаемся на вкладку «Шаблоны» и нажимаем на кнопку «Новый шаблон».
Выбираем «Пустой шаблон» и переходим к редактированию нашего шаблона, имена в угловых скобках в будущем должны быть уникальными.
Переходим на вкладку «Расширения», задаём тип «Конечный субъект» и настраиваем период действия сертификата компьютера (должен быть не больше чем у сертификата удостоверяющего центра).
Нажимаем «Ок» для создания шаблона.
Данный шаблон теперь может быть использован как базовый в качестве создания машинных сертификатов, подписанных нашим удостоверяющим центром.
Создания сертификатов компьютера с использованием шаблона
Далее переходим на вкладку «Субъект» вводим уникальное имя, например, «My_Server», генерируем ключ.
Таким образом мы создали сертификат сервера. Проделываем туже самую процедуру для сертификата клиента (My_Client).
Экспорт машинных сертификатов и ключей
Для создания конфигурационного файла OpenVPN клиента (KEENETIC) и сервера (ПК Windows) нам потребуется экспортировать сертификат удостоверяющего центра, сертификат сервера, сертификат клиента, закрытый ключ сервера, закрытый ключ клиента.
Для этого переходим на вкладку «Сертификаты» выбираем сертификат удостоверяющего центра My_CA нажимаем на кнопку «Экспорт» и выгружаем в заранее созданную папку, например My_Keys, расположенную на рабочем столе.
Проделываем тоже самое для сертификата клиента (My_Client) и сертификата сервера (My_Server).
Переключаемся на вкладку «Закрытые ключи» выбираем ключ My_Client, нажимаем экспорт и выгружаем в нашу папку.
Проделываем туже самую процедуру для ключа сервера.
Создания параметра Диффи-Хэллмана
Для конфигурации параметров сервера нам также потребуется параметр Диффи-Хэллмана
Для создания параметра нажимаем на вкладку «Дополнительно» и выбираем пункт «Сгенерировать параметры Дифии-Хэллмана».
Далее выбираем длину параметра, например, 2048. Далее выгружаем наш параметр в папку с ключами.
В итоге в нашей папке должны находиться следующее файлы: