Включение проверки подлинности сервера для SSL VPN
Аутентификация сервера может защитить SSL-клиентов от атаки «злоумышленник в середине», гарантируя, что клиент подключается к запрашиваемому серверу. В качестве шлюза SSL VPN Vigor Router может также создать корневой центр сертификации (ЦС) для выдачи сертификатов сервера, необходимых для подключения SSL.
Вы также можете экспортировать корневой ЦС и импортировать его в список доверенных ЦС на клиентских устройствах, чтобы они могли проверить подлинность сертификата. В этой статье рассказывается, как создать сертификат сервера для SSL VPN, как импортировать корневой ЦС в iOS и как импортировать корневой ЦС в телефоны Android.
Создание локального сертификата
1. Перейдите в раздел System Maintenance >> Time and Date, чтобы убедиться, что настройки времени маршрутизатора верны, и что лучше соответствует часовому поясу клиента. Потому что при аутентификации личности сервера клиент проверяет, находятся ли текущее время и дата в пределах срока действия сертификата сервера.
2. Перейдите в раздел Certificate Management >> Trusted CA Certificate, нажмите Create Root CA.
3. Завершите следующую информацию:
Выберите тип «None» для Subject Alternative Name
Заполните содержимое, включая местоположение, организацию, имя и адрес электронной почты.
Для большей безопасности выберите Key Size «2048 бит».
Нажмите « Generate», чтобы сгенерировать корневой центр сертификации.
4. Создание корневого центра сертификации займет несколько минут. Подождите, пока статус не покажет ОК.
5. Затем сгенерируйте локальный сертификат, это сертификат, который маршрутизатор отправит клиентам SSL VPN. Перейдите в Certificate Management >> Local Certificate и нажмите Generate.
6. Введите правильную информацию в поля ниже:
Введите Certification Name
В поле « Subject Alternative Name» выберите тип доступа VPN-клиентов к маршрутизатору, например, здесь мы выбираем IP-адрес.
Введите IP-адрес WAN маршрутизатора в качестве IP- адреса . Это должен быть IP-адрес, который клиенты VPN используют для настроек своего сервера.
Введите местоположение, организацию, общее имя (CN) и адрес электронной почты. CN должно совпадать с альтернативным именем субъекта, поэтому мы указываем здесь IP-адрес.
Для большей безопасности выберите Key Size «2048 бит».
Нажмите « Generate», чтобы создать локальный сертификат.
7. Подождите несколько минут, пока будет готов запрос на подпись, затем нажмите Подписать, чтобы подписать сертификат с помощью корневого центра сертификации.
8. Выберите дату истечения срока действия локального сертификата и нажмите Sign.
9. Убедитесь, что статус локального сертификата в порядке.
10. Теперь мы можем использовать сертификат для SSL VPN. Перейдите в SSL VPN >> General Setup, выберите сертификат, созданный на предыдущем шаге для Server Certificate. Нажмите ОК, чтобы сохранить настройки.
11. Теперь клиенты VPN могут использовать «Match Server Name» для проверки. То есть при установке SSL-соединения он проверит, совпадает ли доменное имя или IP-адрес в сертификате сервера с доменным именем или IP-адресом, к которому он подключается.
Экспорт Root CA в iOS
1. После создания корневого ЦС в разделе Certificate Management >> Trusted CA Certificate нажмите Export, чтобы загрузить RootCA. Затем отправьте его на клиентское устройство по электронной почте.
2. На клиентском устройстве откройте файл .crt. 3. Нажмите Установить и введите пароль, чтобы начать установку.
4. Прочтите предупреждающее сообщение и нажмите Установить.
5. После завершения установки вы увидите, что корневой ЦС подтвержден.
6. На клиентских устройствах перейдите в Общие >> О программе >> Параметры доверия к сертификатам и включите установленный корневой ЦС.
7. Теперь мы можем использовать Verify RootCA для настроек проверки сертификата. То есть во время установления связи SSL устройство не только проверяет сертификат сервера, но и проверяет издателя сертификата. Он установит VPN только в том случае, если сервер предоставит сертификат, подписанный доверенным корневым центром сертификации.
Импорт RootCA на устройства Android
1. Загрузите Root CA
2. Откройте файл .crt и используйте его для VPN и приложений, затем нажмите ОК.