Если вы создали собственный , встроенный в систему WNAM удостоверяющий центрЦентр, вы можете вручную создавать в нём сертификаты для ваших абонентов, которые будут проходить авторизацию подключений через EAP-TLS. Для этого в меню "Конфигурация - Корпоративная авторизация - " → "Сертификаты" нажмите на необходимо нажать кнопку "Выписать новый сертификат" , и заполните все поля: заполнить все поля (наименование владельца сертификата, номер телефона и e-mail). После заполнения всех полей следует нажать кнопку "Выписать"
Создание сертификата занимает несколько секунд (ведь генерируется новый приватный ключв это время происходит генерация нового приватного ключа). Сертификат виден после создания будет отображен в списке:.
Также можно просмотреть свойства созданного сертификатаВы также можете просмотреть его свойства, выгрузить сертификат (с ключом) в формате PFX , и передать его пользователю. Для этого следует нажать на сертификат левой кнопкой мыши.
С сертификатом доступные следующие действия:
- скачать сертификат (на выбор предоставлено 5 форматов для скачивания);
- отправить сертификат на почту или телефон;
- отозвать сертификат;
- заблокировать сертификат;
- разблокировать сертификат;
- удалить сертификат.
Созданный сертификат выпущен встроенным в систему WNAM регистрационным центром:.
Внимание: отправка сертификата по почте, на телефон,
Warning |
---|
В дальнейшем будет предусмотрена функция отправки сертификата в виде устанавливаемого профиля |
...
. |
Обратите Следует обратить внимание на то, что система WNAM при EAP-TLS подключении может проверять клиентские сертификаты на предмет их отозванностидействия (не отозван ли сертификат), запрашивая указанный в самом сертификате URL, по которому размещен список отзыва отозванных сертификатов. Для сторонних (выпущенных вашим собственным PKI) этот URL должен быть доступен серверу.
Для встроенного центра Центра сертификации системы WNAM этот URL соответствует имени сервера, который вы задали был задан при генерации Центра , в параметре "Сертификат RADIUS-сервера - DNS-имя сервера". Это должно быть именем WNAM-сервера, желательно доступным "снаружи" вашей используемой сети. Путь до CRL всегда одинаков: http
- http://имя_сервера/ca/ca.crl (для списка корневого сертификата
...
- );
- http://имя_сервера/ca/reg.crl (для списка
...
- отозванных сертификатов регистрационного
...
- Центра, которым выписываются клиентские сертификаты).
Если настройка выполнена корректно, то можно провести проверку сертификата. Если всё настроено верно, то сертификат проверяем: