Momenteel ben ik bezig met de installatie van een Extern Bureaublad server waarop tevens de RD gateway draait in combinatie met de lokale NPS/NAP services om af te dwingen dat de client aan bepaalde eisen voldoet (up to date, anti-virus enz enz).
De gateway, beleid afdwingen en Extern bureaublad werken goed.
Echter om te voorkomen dat iedereen maar kan proberen om in te loggen. Wil ik dat men zich eerst moet identificeren. Het makkelijkste leek mij hiervoor het gebruik maken van client/ server certificaten zodat elkaars identiteit kan worden vastgesteld voordat de verbinding verder word verwerkt.
Echter laat ik dit nou net niet voor elkaar krijgen. Ik geef toe dat ik vrij weinig wist van certificaten voordat ik hier aan begon en weet onderhand al iets meer, maar blijkbaar niet genoeg.
Uiteindelijk ben ik uitgekomen bij het opzetten van certificate authority server. Zodat ik server en cliënt certificaten kan aanmaken volgens certificaat vereisten welke nodig zijn. http://technet.microsoft.com/en-us/library/cc731363.aspx Vervolgens doe ik op de NPS server onder de Netwerkbeleid instellen dat er als verificatie methode gebruik moeten worden gemaakt van het EAP type "smartcard of ander certificaat". Echter als ik verbinding maak word de verificatie methode totaal genegeerd.
Mijn grote vraag:
Ben ik goed bezig en maak ik goed gebruik van de certificaten?
Is er een makkelijkere manier om gebruikers te identificeren die proberen in te loggen op de gateway?
Dit alles draait op Windows Server 2008 R2. De certificate services op Windows Server 2003 R2. Testen doe ik vanaf het domain. Morgen ga ik voor de zekerheid nog extern testen.
Graag jullie input!
Update:
De verificatie methode word niet meer genegeerd, echter word hij ook niet geaccepteerd. Het gevolg is dus dat je niet kan inloggen. Wat wel super veilig is
, maar niet echt de bedoeling.
Extra info gebruik certificaten:
Zowel de server verificatie als het cliënt verificatie certificaat maak ik aan op een Standalone Root CA in me netwerk. Het server certificaat installeer ik in het persoonlijke certificaat archief van de computer. Het CA certificaat installeer ik in het certificaat archief voor vertrouwde basis certificerings instanties. Op de client installeer ik het client certificaat in de map persoonlijk even als het ca certificaat in vertrouwde certificaten archief.
De gateway, beleid afdwingen en Extern bureaublad werken goed.
Echter om te voorkomen dat iedereen maar kan proberen om in te loggen. Wil ik dat men zich eerst moet identificeren. Het makkelijkste leek mij hiervoor het gebruik maken van client/ server certificaten zodat elkaars identiteit kan worden vastgesteld voordat de verbinding verder word verwerkt.
Echter laat ik dit nou net niet voor elkaar krijgen. Ik geef toe dat ik vrij weinig wist van certificaten voordat ik hier aan begon en weet onderhand al iets meer, maar blijkbaar niet genoeg.
Uiteindelijk ben ik uitgekomen bij het opzetten van certificate authority server. Zodat ik server en cliënt certificaten kan aanmaken volgens certificaat vereisten welke nodig zijn. http://technet.microsoft.com/en-us/library/cc731363.aspx Vervolgens doe ik op de NPS server onder de Netwerkbeleid instellen dat er als verificatie methode gebruik moeten worden gemaakt van het EAP type "smartcard of ander certificaat". Echter als ik verbinding maak word de verificatie methode totaal genegeerd.
Mijn grote vraag:
Ben ik goed bezig en maak ik goed gebruik van de certificaten?
Is er een makkelijkere manier om gebruikers te identificeren die proberen in te loggen op de gateway?
Dit alles draait op Windows Server 2008 R2. De certificate services op Windows Server 2003 R2. Testen doe ik vanaf het domain. Morgen ga ik voor de zekerheid nog extern testen.
Graag jullie input!
Update:
De verificatie methode word niet meer genegeerd, echter word hij ook niet geaccepteerd. Het gevolg is dus dat je niet kan inloggen. Wat wel super veilig is
, maar niet echt de bedoeling.Extra info gebruik certificaten:
Zowel de server verificatie als het cliënt verificatie certificaat maak ik aan op een Standalone Root CA in me netwerk. Het server certificaat installeer ik in het persoonlijke certificaat archief van de computer. Het CA certificaat installeer ik in het certificaat archief voor vertrouwde basis certificerings instanties. Op de client installeer ik het client certificaat in de map persoonlijk even als het ca certificaat in vertrouwde certificaten archief.
[ Voor 17% gewijzigd door Verwijderd op 07-12-2010 12:26 ]