¿Cómo hago o obtengo certificados de computadora para usar con la autenticación de usuarios IPSEC en Windows?

5

Estoy teniendo problemas y necesito cierta dirección para usar certificados de computadora con las reglas de seguridad de IP del firewall de Windows 7, usando certificados solo para la autenticación del usuario Puedo hacer que todo funcione correctamente usando una frase de contraseña para la autenticación del usuario. Sin embargo, me gustaría utilizar certificados.

No puedo encontrar ninguna documentación sobre los requisitos para realizar certificados para la autenticación de usuarios IPSEC.

He estado usando makecert para crear una CA de terceros y luego hice algunos certificados con los siguientes ekus:

Server Authentication EKU is        1.3.6.1.5.5.7.3.1
IP security IKE intermediate EKU is 1.3.6.1.5.5.8.2.2
Client Certificate EKU is           1.3.6.1.5.5.7.3.2

¿Alguien sabe de un buen recurso o documentación para el firewall de Windows 7 que incluya este mensaje? ¿O alguien ha creado este tipo de certificados antes y estaría dispuesto a ayudarme?

    
pregunta Fiber 20.04.2013 - 02:24
fuente

2 respuestas

1

Para hacer los certificados y requerir que el servidor use la autenticación de certificados, eche un vistazo a este recurso: enlace

Para obtener los certificados, la siguiente es una forma práctica de hacerlo a través de HTTPS para que no tenga que volver a configurar los conjuntos de reglas de firewall para permitir: enlace

    
respondido por el AndyMac 12.06.2013 - 15:22
fuente
1

Acabo de establecer una VPN de sitio a sitio IPSEC que requería algunos ExtendedKeyUsage e hice algunas investigaciones al respecto.

El ExtendedKeyUsage para el Intercambio de claves de Internet fue desaprobado por RFC4945

  

CA NO DEBE incluir la extensión ExtendedKeyUsage (EKU) en los certificados para su uso con IKE. Tenga en cuenta que había tres IPsec
  identificadores de objetos relacionados en EKU que se asignaron en 1999. El
  La semántica de estos valores nunca se definió claramente. El uso de
  estos tres valores EKU en IKE / IPsec están obsoletos y explícitamente
  En desuso por esta especificación. Las entidades emisoras de certificados NO DEBEN emitir certificados
  para uso en IKE con ellos. (Sólo para referencia histórica, aquellos
  los valores fueron id-kp-ipsecEndSystem, id-kp-ipsecTunnel e id-kp-
  ipsecUser.)

Si este certificado se usará solo para IKE / IPSEC, la recomendación es configurar el uso de clave en digitalSignature, nonRepudiation o ambos.

  

IKE utiliza un certificado de entidad final en el proceso de autenticación.   El certificado de entidad final se puede utilizar para múltiples aplicaciones. Como   Por lo tanto, la AC puede imponer algunas restricciones sobre la manera en que un      La clave debe ser utilizada. KeyUsage (KU) y ExtendedKeyUsage (EKU)   las extensiones se aplican en esta situación.

     

Ya que estamos hablando de usar la clave pública para validar un
  firma, si la extensión KeyUsage está presente, entonces al menos uno de   la firma digital o los bits de no rechazo en KeyUsage
  la extensión DEBE ser establecida (ambas pueden ser establecidas también). También está bien si
  otros bits de uso de clave están establecidos.

     

A continuación se incluye un resumen del flujo lógico para la validación de certificados entre pares:

     

o Si no hay una extensión KU, continúa.

     

o Si KU está presente y no menciona la firma digital o         no rechazo (ambos, además de otros KU, también están bien),         rechazar certificado.

     

o Si ninguno de los anteriores, continúa.

    
respondido por el DaniloNC 21.08.2015 - 21:40
fuente

Lea otras preguntas en las etiquetas