(!) Настройка туннеля VPN между ZyWALL 2/5/35/70 и ПО Remote Security Client с использованием сертификата

Как настроить VPN-туннель между аппаратным шлюзом ZyWALL 2/5/35/70 и ПО ZyWALL Remote Security Client с использованием сертификата?

Приведем пример использования сертификатов в качестве метода аутентификации в туннеле VPN между аппаратным шлюзом ZyWALL 2/5/35/70 и ПО ZyWALL VPN Client.

Возможны 3 варианта:

  1. Использование самоподписанных сертификатов. Обе стороны VPN-туннеля должны являться IPSec-шлюзами. Данный вариант рассмотрен в примечании к этой статье. 
  2. Использование online-зарегистрированных сертификатов.
  3. Использование offline-зарегистрированных сертификатов.

Так как в программном клиенте VPN (ZyWALL VPN Client) нельзя создать самоподписанный сертификат, то в нашем случае нужно использовать вариант 2 или 3.
В этих двух вариантах нужен будет сервер центра сертификации CA(Certificate Authority). В данной статье описана процедура для варианта 3, т.е. использование offline-зарегистрированных сертификатов.


При использовании варианта 3 (использование offline-зарегистрированных сертификатов) выполните следующие шаги:

Шаг 1. Загрузите сертификат с сервера центра сертификации CA и импортируйте его в ZyWALL в список доверенных сертификатов Trusted CAs.
Шаг 2. Создайте сертификат на ZyWALL.
Шаг 3. Зарегистрируйте сертификат в Windows 2003 (центр сертификации CA).
Шаг 4. Импортируйте сертификат на ZyWALL, который вы получили от сервера CA. 
Шаг 5. Выполните запрос и установку сертификата для программного клиента VPN. 
Шаг 6. Настройте VPN-туннель на аппаратном шлюзе ZyWALL и ПО ZyWALL VPN Client.


Далее рассмотрим эти действия более подробно.

Шаг 1. Загрузите сертификат с сервера центра сертификации CA и импортируйте его в ZyWALL в список доверенных сертификатов Trusted CAs.

Шаг 2. Создайте сертификат на ZyWALL.


1. Перейдите в меню SECURITY > CERTIFICATES > закладка My Certificates > и нажмите кнопку Create.



2. В поле Certificate Name введите название сертификата. В разделе Subject Information присвойте сертификату Common Name. Это может быть один из вариантов: Host IP Address, Host Domain Name или E-Mail address. Поля Organizational Unit, Organization, Country являются необязательными полями, и их  можно не заполнять. Затем в поле Key Length установите длину ключа и выберите опцию Create a certification request and save it locally for later manual enrollment. Нажмите кнопку Apply.



3. Подождите 1-2 минуты до тех пор, пока не появится сообщение "Request Generation Successful". В течение этого времени на ZyWALL выполняется запрос на создание сертификата.



4. После успешного выполнения запроса на создание сертификата ZyWALL покажет сообщение "Request Generation Successful".



5. В разделе My Certificates появится новая запись серого цвета. Это запрос сертификата, который мы создали. Нажмите значок Details для экспорта запроса.



Шаг 3. Регистрация запроса сертификата.

1. Скопируйте содержимое поля Certificate in PEM Encoded Format. Выделите содержимое и затем нажмите правой кнопкой мыши и выберите Копировать (Copy). При этом выделенный текст сохранится в буфере обмена.



2. Подключитесь к серверу центра сертификации. Введите URL-адрес для доступа к серверу CA, указав в полях User Name/Password/Domain.



3. Выберите Request a Certificate и затем нажмите кнопку Next.



4. Выберите Advanced request и нажмите кнопку Next.



5. Выберите "Submit a certificate request using a base64..." и нажмите кнопку Next.



6. В поле Saved Request нажмите правой кнопкой мыши и выберите Вставить (Paste). В данное поле будет добавлено содержимое сертификата, который мы получили на шаге 3.1. Нажмите кнопку Submit.



7. После подтверждения сертификат будет создан и доступен для загрузки. Нажмите "Download CA certification path".



8. Появится всплывающее окно загрузки, в котором нажмите кнопку Сохранить (Save) и укажите папку, в которую вы хотите сохранить сертификат.

Шаг 4. Импортируйте сертификат на ZyWALL, который вы получили от сервера CA. 


1. Зайдите в веб-конфигуратор ZyWALL'а в меню SECURITY > CERTIFICATES > закладка My Certificates > и нажмите кнопку Import.



2. Нажмите кнопку Browse... и укажите папку, в которой находится сертификат. Нажмите кнопку Apply.



После импортирования сертификата в ваш ZyWALL предыдущая запись серого цвета о запросе сертификата станет черной. Это будет означать, что сертификат был успешно импортирован в ZyWALL.



Шаг 5. Выполните запрос и установку сертификата для программного клиента VPN. 

1. Запустите сервер CA и нажмите Request a certificate.



2. Выберите Submit an advanced certificate request.



3. Выберите Create and submit a request to this CA.



4. Далее нажмите кнопку Submit.



5. Нажмите Yes.



6. Нажмите Install this certificate. Когда сервер CA будет устанавливать сертификат на ваш ПК, нажмите Yes.





7. Запустите программный клиент VPN на компьютере и зайдите в раздел Certificate Manager. Вы увидите установленные сертификаты в меню My Certificates и Root CA Certificates.




Шаг 6. Настройте VPN-туннель на аппаратном шлюзе ZyWALL и ZyWALL VPN Client.


Далее настройте VPN-туннель, используя сертификат в качестве метода аутентификации. Пожалуйста, обратите внимание на метод аутентификации в ZyWALL и программном VPN-клиенте соответственно. Другие настройки при создании туннеля VPN такие же, как и с использованием Preshared Key.

1. В ZyWALL.



2. В ZyWALL VPN Client.


 



Примечание:

 

Настройка VPN с использованием самоподписанных сертификатов

  1. Создайте на обоих шлюзах ZyWALL самоподписанные сертификаты и сохраните их на компьютере.
  2. Загрузите в меню Trusted Remote Host самоподписанный сертификат одного ZyWALL'а на другой ZyWALL.
  3. Настройте VPN-туннели на обоих устройствах. В настройках VPN - GATEWAY POLICY (Phase 1) вместо Pre-Shared Key выберите Certificate. Ниже автоматически заполняются поля Local ID Type и Content (например, E-mail 123456789000@auto.gen.cert). Поля Peer ID Type и Content будут пустыми. В них надо выбрать также значение E-mail и вписать в поле Content значение с удаленного ZyWALL'а, стоящего по другую сторону VPN-туннеля.


После сохранения либо инициируйте установку VPN-туннеля вручную, либо это произойдет автоматически при включенной функции Nailed-Up.

 

KB-1814

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0