WindowsでIPSECユーザー認証で使用するコンピューター証明書を作成または取得するにはどうすればよいですか?
問題があり、ユーザー認証にのみ証明書を使用して、Windows 7ファイアウォールのIPセキュリティルールでコンピューター証明書を使用するいくつかの指示が必要です。ユーザー認証にパスフレーズを使用すると、すべてを正しく機能させることができます。ただし、証明書を使用したいと思います。
IPSECユーザー認証の証明書を作成するための要件に関するドキュメントが見つかりません。
私はmakecertを使用してサードパーティCAを作成し、次のekusを使用していくつかの証明書を作成しました。
Server Authentication EKU is 1.3.6.1.5.5.7.3.1
IP security IKE intermediate EKU is 1.3.6.1.5.5.8.2.2
Client Certificate EKU is 1.3.6.1.5.5.7.3.2
このメッセージを含むWindows 7ファイアウォールの優れたリソースまたはドキュメントを知っている人はいますか?または誰かが以前にこの種の証明書を作成したことがあり、私を喜んで手助けしてくれるでしょうか?
いくつかのExtendedKeyUsageを必要とするIPSECサイト間VPNを確立したばかりで、それについていくつかの調査を行いました。
Internet Key ExchangeのExtendedKeyUsageは RFC4945 によって廃止されました
CAは、IKEで使用する証明書にExtendedKeyUsage(EKU)拡張を含めないでください。 3つのIPsec-
1999年に割り当てられたEKUの関連オブジェクト識別子。
これらの値の意味は明確に定義されていません。の用法
IKE/IPsecのこれら3つのEKU値は廃止され、明示的に使用されています
この仕様では非推奨です。 CAは証明書を発行しないでください
IKEで使用するため。 (歴史的な参照のためだけに、それら
値は、id-kp-ipsecEndSystem、id-kp-ipsecTunnel、id-kp-
ipsecUser。)
この証明書がIKE/IPSECにのみ使用される場合、KeyUsageをdigitalSignature、nonRepudiation、またはその両方に設定することをお勧めします。
IKEは、認証プロセスでエンドエンティティ証明書を使用します。エンドエンティティ証明書は、複数のアプリケーションで使用できます。そのため、CAは公開鍵の使用方法にいくつかの制限を課すことができます。この状況では、KeyUsage(KU)およびExtendedKeyUsage(EKU)拡張が適用されます。
公開鍵を使用して
signature、KeyUsage拡張が存在する場合、keyUsageのdigitalSignatureまたはnonRepudiationビットの少なくとも1つ
拡張子を設定する必要があります(どちらも設定できます)。次の場合も問題ありません
他のKeyUsageビットが設定されています。ピア証明書検証のロジックフローの概要は次のとおりです。
o KU拡張がない場合は、続行します。
o KUが存在し、digitalSignatureまたはnonRepudiationに言及していない場合(他のKUに加えて、どちらも問題ありません)、証明書を拒否します。
o上記のいずれでもない場合は、続行します。
証明書を作成し、サーバーが証明書認証を使用するように要求することに関しては、次のリソースを参照してください。 http://support.Microsoft.com/kb/814394
証明書を取得するために、以下はHTTPS経由で実行するための便利な方法です。許可するためにファイアウォールルールセットを再構成する必要はありません。 https://blogs.technet.com/b/askds /archive/2010/02/01/certificate-enrollment-web-services.aspx?Redirected=true