Поиск 0
8 499 455-06-82
с 9:00 до 18:00 по будням
info@digitalangel.ru
Draytek VPN

Включение проверки подлинности сервера для SSL VPN

Аутентификация сервера может защитить SSL-клиентов от атаки «злоумышленник в середине», гарантируя, что клиент подключается к запрашиваемому серверу. В качестве шлюза SSL VPN Vigor Router может также создать корневой центр сертификации (CA) для выдачи сертификатов сервера, необходимых для подключения SSL. Вы также можете экспортировать корневой ЦС и импортировать его в список доверенных ЦС на клиентских устройствах, чтобы они могли проверить подлинность сертификата. В этой статье рассказывается, как создать сертификат сервера для SSL VPN, как импортировать корневой ЦС в iOS и как импортировать корневой ЦС в телефоны Android.

Создание локального сертификата

1. Перейдите в раздел « System Maintenance >> Time and Date», чтобы убедиться, что настройки времени маршрутизатора верны, и что лучше соответствует часовому поясу клиента. Потому что при аутентификации личности сервера клиент проверяет, находятся ли текущее время и дата в пределах срока действия сертификата сервера.

скриншот настроек времени и даты DrayOS

2. Перейдите в раздел «Certificate Management >> Trusted CA Certificate , нажмите «Create Root CA» .

снимок экрана со списком доверенных сертификатов ЦС DrayOS

3. Завершите следующую информацию:

  • Выберите тип «None» для Subject Alternative Name
  • Заполните содержимое, включая местоположение, организацию, имя и адрес электронной почты.
  • Для большей безопасности выберите Key Size «2048 бит».
  • Нажмите « Generate», чтобы сгенерировать корневой центр сертификации.
скриншот сертификата корневого центра сертификации DrayOS

4. Создание корневого центра сертификации займет несколько минут. Подождите, пока статус не покажет ОК.

снимок экрана со списком доверенных сертификатов ЦС DrayOS

5. Затем сгенерируйте локальный сертификат, это сертификат, который маршрутизатор отправит клиентам SSL VPN. Перейдите в Certificate Management >> Local Certificate и нажмите Generate.

снимок экрана со списком локальных сертификатов DrayOS

6. Введите правильную информацию в поля ниже:

  • Введите Certification Name
  • В поле « Subject Alternative Name» выберите тип доступа VPN-клиентов к маршрутизатору, например, здесь мы выбираем IP-адрес.
  • Введите IP-адрес WAN маршрутизатора в качестве IP- адреса . Это должен быть IP-адрес, который клиенты VPN используют для настроек своего сервера.
  • Введите местоположение, организацию, общее имя (CN) и адрес электронной почты. CN должно совпадать с альтернативным именем субъекта, поэтому мы указываем здесь IP-адрес.
  • Для большей безопасности выберите Key Size «2048 бит».
  • Нажмите « Generate», чтобы создать локальный сертификат.
снимок экрана с подробной информацией о локальном сертификате DrayOS

7. Подождите несколько минут, пока будет готов запрос на подпись, затем нажмите « Подписать», чтобы подписать сертификат с помощью корневого центра сертификации.

снимок экрана со списком локальных сертификатов DrayOS

8. Выберите дату истечения срока действия локального сертификата и нажмите « Sign » .

снимок экрана, на котором DrayOS подписывает локальный сертификат

9. Убедитесь, что статус локального сертификата в порядке.

снимок экрана со списком локальных сертификатов DrayOS

10. Теперь мы можем использовать сертификат для SSL VPN. Перейдите в SSL VPN >> General Setup , выберите сертификат, созданный на предыдущем шаге для Server Certificate . Нажмите ОК, чтобы сохранить настройки.

скриншот Общей настройки DrayOS SSL VPN

11. Теперь клиенты VPN могут использовать «Match Server Name» для проверки. То есть при установке SSL-соединения он проверит, совпадает ли доменное имя или IP-адрес в сертификате сервера с доменным именем или IP-адресом, к которому он подключается.

скриншот настроек iOS VPN

Экспорт Root CA в iOS

1. После создания корневого ЦС в разделе « Certificate Management >> Trusted CA Certificate» нажмите « Export», чтобы загрузить RootCA. Затем отправьте его на клиентское устройство по электронной почте.

снимок экрана со списком доверенных сертификатов ЦС DrayOS

2. На клиентском устройстве откройте файл .crt.

скриншот почтового ящика iOS

3. Нажмите « Установить» и введите пароль, чтобы начать установку.

скриншот профиля установки iOS

4. Прочтите предупреждающее сообщение и нажмите « Установить» .

скриншот профиля установки iOS

5. После завершения установки вы увидите, что корневой ЦС подтвержден.

снимок экрана с установленным профилем iOS

6. На клиентских устройствах перейдите в Общие >> О программе >> Параметры доверия к сертификатам и включите установленный корневой ЦС.

снимок экрана настроек доверия сертификатов iOS

7. Теперь мы можем использовать Verify RootCA для настроек проверки сертификата. То есть во время установления связи SSL устройство не только проверяет сертификат сервера, но и проверяет издателя сертификата. Он установит VPN только в том случае, если сервер предоставит сертификат, подписанный доверенным корневым центром сертификации.


Импорт RootCA на устройства Android

1. Загрузите Root CA

скриншот загрузки Android Root CA

2. Откройте файл .crt и используйте его для VPN и приложений, затем нажмите « ОК».

скриншот загрузки Android Root CA

Сравнение товаров {{compareItems.length}}

Например termit irz модем rl21 atm21 антенна 906 sma 45791
Например termit irz модем rl21 atm21 антенна 906 sma 45791
Мы используем cookie-файлы