Vpn

設置基於證書的 VPN 接入點

  • July 29, 2009

我們目前正在使用 Microsoft RAS 伺服器,使用 PPTP 讓人們通過 VPN 進入辦公網路。它不是特別安全,因為人們的使用者名是可預測的,並且許多使用者沒有選擇安全密碼。任何在密碼中強制執行適度安全性的嘗試都面臨內部反抗。

我正在考慮設置 VPN 以使用 IPSEC,並使用證書進行身份驗證。我需要的是關於合適的 IPSEC 伺服器配置、管理證書和管理證書部署的建議——尤其是來自那些完全這樣做的人。我有管理 Windows、Linux 以及在較小程度上管理 OpenBSD 作業系統的經驗。

最後,我看到有關 XP 專業機器在其 IP 地址不固定時無法建立臨時 IPSEC 連接的評論?這是一個真正的問題嗎?

在此先感謝您的幫助,

您不會寫出您正在為何種規模的組織工作 - 但根據我的經驗,管理具有許多使用者的遠端訪問解決方案證書並不是一個理想的方式。對於普通使用者來說,證書很難理解,我還沒有看到不需要非常好的書面指南或電話支持者的證書頒發和重新頒發過程。

我在任何時候都更喜歡基於硬體令牌的遠端訪問解決方案,而不是基於證書的解決方案。

我不管理我工作的遠端訪問網關,但我知道我們使用 Cisco VPN 和 RSA secureID 身份驗證。我還看到了一家名為 Giritech 的公司提供的更輕量級的解決方案。但必須有數百個基於硬體 fobs 的類似解決方案。

伊爾多克

引用自:https://serverfault.com/questions/47698