Описание
EAP-TLS является протоколом взаимной аутентификации клиента и сервера с использованием сертификатов. Данный метод предусматривает, что для сервера и каждого клиента выпускается отдельный сертификат. За выпуск сертификатов отвечает центр сертификации (далее ЦС).
Сертификат, используемый NAICE-RADIUS для выполнения EAP-TLS аутентификации, не изменяет сертификат, используемый для EAP-PEAP аутентификации.
Требования к сертификатам
- Сертификат, используемый сервисом, должен иметь формат PEM или CRT без включения ключа шифрования в сертификат сервера.
- Использование DER-кодировки не поддержано.
- Использование сертификатов в контейнере PKCS не поддержано.
- В пароле к приватному ключу не допускается использование символов: $, ', ", `, знаки скобок и пробел.
- Возможно использование только одного сертификата сервисом NAICE-RADIUS.
- Сертификат, используемый NAICE-RADIUS, должен содержать атрибуты:
- Subject: CN;
- X509v3 Key Usage: Digital Signature, Key Encipherment;
- X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication.
- Сертификат, используемый пользователем, должен содержать атрибуты:
- Subject: CN;
- X509v3 Key Usage: Digital Signature, Key Encipherment;
- X509v3 Extended Key Usage: TLS Web Client Authentication.
Требования к OCSP-серверу
- Поддерживается реализация сервера OCSP MS Windows Server.
- Поддержан режим только HTTP (без TLS шифрования).
Мониторинг срока действия сертификата
Проверить окончание срока действия сертификата можно перейдя в веб-интерфейс OVA-образа по следующему адресу:
https://<IP-адрес установки NAICE>:8000
После чего перейти на вкладку NAICE → Certificates → eap-tls и увидеть срок действия текущего сертификата:
Добавление пользовательского сертификата
Для замены строенного сертификата eap-tls на пользовательский, необходимо перейти в веб-интерфейс OVA-образа по следующему адресу:
https://<IP-адрес установки NAICE>:8000
После чего перейти на вкладку NAICE → Certificates → eap-tls и загрузить следующие файлы, а также ввести пароль к файлу приватного ключа (при необходимости) и нажать кнопку Сохранить:
- Файл корневого сертификата
- Файл серверного сертификата
- Файл ключа сертификата
Настройки параметров OCSP
В случае необходимости настройки OCSP, это можно сделать, используя следующие параметры и нажав Сохранить:
| Название параметра | Значение |
|---|---|
| Включить проверку статуса отзыва сертификата по протоколу OCSP. По умолчанию Выключено (проверка отключена). | |
| Откуда брать URL OCSP-сервера: Выключено - использовать URL из сертификата пользователя; Включено - использовать URL из настройки "". По умолчанию Выключено. | |
| URL для обращения к OCSP-серверу (разрешен только http-режим). | |
| Поведение в случае недоступности OCSP-сервера: Выключено - прекратить аутентификацию, если не удается получить доступ; Включено - продолжить аутентификацию без проверки отзыва сертификата, если OCSP-сервер не доступен. | |
| Таймаут обращения к серверу OCSP (секунды). По умолчанию 0. | |
| Включить одноразовый код nonce в запрос на проверку сертификата для предотвращения подмены запроса. По умолчанию . |
Удаление пользовательского сертификата
В случае, если необходимо удалить пользовательский сертификат полностью из системы (без замены на новый), а также сбросить параметры OCSP, можно воспользоваться кнопкой Удалить пользовательский сертификат
