Если в вашем Удостоверяющем Центре WNAM есть хотя бы один сертификат типа REGCENTER (с закрытым ключом), вы можете вручную создавать в нём сертификаты для абонентов, которые будут проходить авторизацию подключений через EAP-TLS. Для этого в меню "Конфигурация" → "Сертификаты" необходимо нажать кнопку "Выписать новый сертификат" и заполнить все поля (наименование владельца сертификата, номер телефона и e-mail). После заполнения всех полей следует нажать кнопку "Выписать"

Создание сертификата занимает несколько секунд (в это время происходит генерация нового приватного ключа). Сертификат после создания будет отображен в списке.

Также можно просмотреть свойства созданного сертификата, выгрузить сертификат (с ключом) в формате PFX и передать его пользователю. Для этого следует нажать на сертификат левой кнопкой мыши.

С сертификатом доступные следующие действия:

  • скачать сертификат (на выбор предоставлено 5 форматов для скачивания);
  • отправить сертификат на почту или телефон;
  • отозвать сертификат;
  • заблокировать сертификат;
  • разблокировать сертификат;
  • удалить сертификат.

   

Видно, что созданный сертификат выпущен встроенным в систему WNAM регистрационным центром.

В дальнейшем будет предусмотрена функция отправки сертификата в виде устанавливаемого профиля.

Следует обратить внимание на то, что система WNAM при EAP-TLS подключении может проверять клиентские сертификаты на предмет их действия (не отозван ли сертификат), запрашивая указанный в самом сертификате URL, по которому размещен список отозванных сертификатов. Для сторонних (выпущенных вашим собственным PKI) этот URL должен быть доступен серверу.

Для встроенного Центра сертификации системы WNAM этот URL соответствует имени сервера, который был задан при генерации Центра в параметре "Сертификат RADIUS-сервера - DNS-имя сервера". Это должно быть именем WNAM-сервера, желательно доступным "снаружи" используемой сети. Путь до CRL всегда одинаков: 

  • http://имя_сервера/ca/ca.crl (для списка корневого сертификата);
  • http://имя_сервера/ca/reg.crl (для списка отозванных сертификатов регистрационного Центра, которым выписываются клиентские сертификаты).

Если настройка выполнена корректно, то можно провести проверку сертификата.



  • No labels