Имеются следующие серверы PKI:
- RootCA (standalone, root, offline)
- InternalCA (enterprise, subordinate, для доменных нужд)
- ExternalCA (enterprise, subordinate, для недоменных нужд)
И VPN:
- VPN (доменный сервер в периметре)
- RADIUS (доменный сервер в интранете) как AAA
- VPN будет использовать все три протокола: PPTP, L2TP/IPSec, SSTP
Планируется использовать сертификаты при подключении к VPN со следующими условиями:
- Каждый пользователь, член доменной глобальной группы “VPN Users” имеет свойство получать (автоматически в т.ч.) сертификат аутентификации клиента с сервера InternalCA
- Каждая доменная рабочая станция имеет автонакатанный сертификат IPSec с сервера InternalCA
- Любой недоменный пользователь (недоменный компьютер) запрашивает сертификат вручную с ExternalCA через веб-морду
Вопрос в том, какие где сертификаты должны стоять, чтобы выстроились правильные цепочки доверия? Пока предполагаю, что на VPN и RADIUS должны стоять оба промежуточных доверенных сертификата InternalCA и ExternalCA.
Для наглядности:
Пользователь Вася — доменный с доменным же ноутом. У него всё автонакатано InternalCA. Ему надо подключиться к серверу vpn.domain.tld
Пользователь Маша — недоменный, со своим собственным ноутом. Она запросила и поставила сертификаты с ExternalCA. Ей надо подключиться к тому же самому серверу.
Оба они проходят проверку, авторизацию и аудит на сервере RADIUS.
Насколько я понял (это пока не окончательно), мне нужны следующие сертификаты:
- Пользовательский для аутентификации
- Машинный для IPSec
- RADIUS-сертификат
- VPN сертификат (причём не один, ибо все три протокола)
- И один или оба сертификата InternalCA и ExternalCA в промежуточных доверенных центрах на всех узлах цепочки: клиент, комп клиента, VPN, RADIUS
Собственно вопрос в том, где и как расположить сертификаты так, чтобы доменные и недоменные пользователи могли подключаться к одному и тому же ресурсу vpn.domain.tld.
Спасибо за внимание, надеюсь на пинок в правильном направлении.
