[monkkey]

Сертификат нужного сервера экспортировать, на маршрутизаторе импортировать в доверенные.

[Kirill_80]

Нужного это какого? Корневого СА? Он экспортирован в .cer-формате на хост-бастион, являющийся VPN-сервером. Но нужен ещё набор сертификатов, которые бы подтвердили надёжность самого хоста. Т.е. нужно выдать сертификат на корневом СА, но из какого шаблона и с какими параметрами. Пробовал уже модифицированные сертификаты RAS и IAS-сервера. Не покатило. Пробовал Offline Router. Тоже не сработало. Экспортирую в .pfx (p12-формат, с архивированным ключом). Но даже это не помогает. В общем, нужет тип сертификата или набор необходимых параметров.
Вопрос то не шибко сложный, но не на технете, не в сапорте мелкомягком ничего вразумительно ответить не смогли.

[exo]

хм... на обоих шлюзах устанавливаем СА сертификаты и для каждого шлюза свой локальный сертификат. Всё, больше никаких сертификатов не нужно. Тип только забыл, но по-умолчанию он уже стоял... Правда я настраивал ПН не на винде, но я так понимаю для шлюзов всё равно... Вот сайт , где можно инфу найти. Там у них дока где-то есть, по которой я сертификаты генерил для шлюзов.
Кстати, можете у них скачать КриптоПро триальную версию (на месяц), нагенерить себе сетрификатов, и забыть о них.
Единственный момент - Домен на шлюзе А. Совершенно не знаю как себя ВПН поведёт.

[Kirill_80]

exo, в организации в домене А и раз развёрнута PKI. Есть издающие сертификаты Центры сертификации и они вполне справляются, но пока дело доходило только до компов в лесу. А тут звонящий маршрутизатор не является членом леса.

[exo]

Цитата Kirill_80:

А тут звонящий маршрутизатор не является членом леса. »

так. На маршрутизаторе Б стоит ПО, которое поднимает ВПН. Там должна быть возможность установки сертификатов. Думаю можно настроить ВПН не смотря на домен. Будут проблемы - посмотрим логи.

[Kirill_80]

exo, это ПО -- RRAS И сертификаты он берёт из локального хранилища, в которое запихнуть сертификат сложности никакой нет. Но несмотря на наличие сертификата в логах на принимающей стороне отмечено, что была попытка соединения, но соединение не завершено из-за того, что вверительные данные или сертификат не соответствуют. По PPTP с MS CHAP v2 всё устанавливается на ура.

[exo]

Цитата Kirill_80:

вверительные данные или сертификат не соответствуют. »

ну вот Вам логи и указали на ошибку - ЦС когда устанавливался? Переустанавливался ли он перед генерецие сертификатов для Б-маршрутизатора? Разные ЦС выдают разные СА.

[Kirill_80]

Нет, корневой Центр сертификации один и тот же. Хотя, вот вы меня на мысль натолкнули, что действительно один из выдающих сертицикаты Цс переустанавливался и возможно цепочки неодинаковые на VPN-маршрутизаторе, IAS и звонящем маршрутизаторе.

[exo]

Цитата Kirill_80:

один из выдающих сертицикаты Цс »

один из? ЦС должен быть один! или разные ЦС должны быть как-то связанны между собой.

Цитата Kirill_80:

выдающих сертицикаты Цс переустанавливался »

если так - то всё. Ибо СА уникален - там когда устанавиливается ЦС - генерится ключ на основании движений "мышки" или написанных "знаков".