Если в вашем Удостоверяющем Центре WNAM 2 есть хотя бы один сертификат типа REGCENTER (с закрытым ключом), вы можете вручную создавать в нём сертификаты для абонентов, которые будут проходить авторизацию подключений через EAP-TLS. Для этого в меню "NAC контроль сетевого доступа" → "Сертификаты" необходимо нажать кнопку "Новый сертификат" и заполнить все поля (наименование владельца сертификата, номер телефона и e-mail). После заполнения всех полей следует нажать кнопку "Выписать"

Создание сертификата занимает несколько секунд (в это время происходит генерация нового приватного ключа). Сертификат после создания будет отображен в списке.

Также можно просмотреть свойства созданного сертификата, выгрузить сертификат (с ключом) в формате PFX и передать его пользователю. Для этого следует нажать на контекстное меню "открыть подробности" выбираемого сертификата.

С сертификатом доступные следующие действия:

  • скачать сертификат (на выбор предоставлено 5 форматов для скачивания);
  • посмотреть сертификат (будет открыто окно с текстовым представлением сертификата);
  • отозвать сертификат;
  • заблокировать сертификат или разблокировать сертификат;
  • удалить сертификат.

  

При экспорте сертификата можно указать пароль:

Пароль по умолчанию устанавливается 123456.

Видно, что созданный сертификат выпущен встроенным в систему WNAM 2 регистрационным центром.

В дальнейшем будет предусмотрена функция отправки сертификата в виде устанавливаемого профиля.

Следует обратить внимание на то, что система WNAM 2 при EAP-TLS подключении может проверять клиентские сертификаты на предмет их действия (не отозван ли сертификат), запрашивая указанный в самом сертификате URL, по которому размещен список отозванных сертификатов. Для сторонних (выпущенных вашим собственным PKI) этот URL должен быть доступен серверу.

Для встроенного Центра сертификации системы WNAM 2 этот URL соответствует имени сервера, который был задан при генерации Центра в параметре "Сертификат RADIUS-сервера - DNS-имя сервера". Это должно быть именем WNAM-сервера, желательно доступным "снаружи" используемой сети. Путь до CRL всегда одинаков: 

  • http://имя_сервера/ca/ca.crl (для списка корневого сертификата);
  • http://имя_сервера/ca/reg.crl (для списка отозванных сертификатов регистрационного Центра, которым выписываются клиентские сертификаты).
  • No labels