Просмотреть исходный

Описание

EAP-TLS является протоколом взаимной аутентификации клиента и сервера с использованием сертификатов. Данный метод предусматривает, что для сервера и каждого клиента выпускается отдельный сертификат. За выпуск сертификатов отвечает центр сертификации (далее ЦС).

Сертификат, используемый NAICE-RADIUS для выполнения EAP-TLS аутентификации, не изменяет сертификат, используемый для EAP-PEAP аутентификации.

Требования к сертификатам

Сертификат, используемый сервисом, должен иметь формат PEM или CRT без включения ключа шифрования в сертификат сервера.
Использование DER-кодировки не поддержано.
Использование сертификатов в контейнере PKCS не поддержано.
В пароле к приватному ключу не допускается использование символов: $, ', ", `, знаки скобок и пробел.
Возможно использование только одного сертификата сервисом NAICE-RADIUS.
Сертификат, используемый NAICE-RADIUS, должен содержать атрибуты:
1. Subject: CN;
2. X509v3 Key Usage: Digital Signature, Key Encipherment;
3. X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication.
Сертификат, используемый пользователем, должен содержать атрибуты:
1. Subject: CN;
2. X509v3 Key Usage: Digital Signature, Key Encipherment;
3. X509v3 Extended Key Usage: TLS Web Client Authentication.

Требования к OCSP-серверу

Поддерживается реализация сервера OCSP MS Windows Server.
Поддержан режим только HTTP (без TLS шифрования).

Мониторинг срока действия сертификата

Проверить окончание срока действия сертификата можно перейдя в веб-интерфейс OVA-образа по следующему адресу:

https://<IP-адрес установки NAICE>:8000

После чего перейти на вкладку NAICE → Certificates → eap-tls и увидеть срок действия текущего сертификата:

Добавление пользовательского сертификата

Для замены строенного сертификата eap-tls на пользовательский, необходимо перейти в веб-интерфейс OVA-образа по следующему адресу:

https://<IP-адрес установки NAICE>:8000

После чего перейти на вкладку NAICE → Certificates → eap-tls и загрузить следующие файлы, а также ввести пароль к файлу приватного ключа (при необходимости) и нажать кнопку Сохранить:

Файл корневого сертификата
Файл серверного сертификата
Файл ключа сертификата

Eltex Documentation > v1.0_3.3.5 Замена сертификатов EAP-TLS > image-2025-10-31_16-1-34.png

Настройки параметров OCSP

В случае необходимости настройки OCSP, это можно сделать, используя следующие параметры и нажав Сохранить:

Название параметра	Значение
Включение проверки статуса отзыва сертификата по протоколу OCSP	Включить проверку статуса отзыва сертификата по протоколу OCSP. По умолчанию Выключено (проверка отключена).
Включение проверки статуса отзыва сертификата по протоколу OCSP	Откуда брать URL OCSP-сервера: Выключено - использовать URL из сертификата пользователя; Включено - использовать URL из настройки "Url ocsp сервера". По умолчанию Выключено.
Url ocsp сервера	URL для обращения к OCSP-серверу (разрешен только http-режим).
Мягкая проверка доступа к серверу проверки OSCP	Поведение в случае недоступности OCSP-сервера: Выключено - прекратить аутентификацию, если не удается получить доступ; Включено - продолжить аутентификацию без проверки отзыва сертификата, если OCSP-сервер не доступен.
Таймаут обращения к OCSP серверу (сек)	Таймаут обращения к серверу OCSP (секунды). По умолчанию 0.
Позволяет включить одноразовый код в запрос - nonce.	Включить одноразовый код nonce в запрос на проверку сертификата для предотвращения подмены запроса. По умолчанию Url ocsp сервера.

Удаление пользовательского сертификата

В случае, если необходимо удалить пользовательский сертификат полностью из системы (без замены на новый), а также сбросить параметры OCSP, можно воспользоваться кнопкой Удалить пользовательский сертификат

Eltex Documentation > v1.0_3.3.5 Замена сертификатов EAP-TLS > image-2025-10-31_16-26-50.png