1. Выполните следующую команду, чтобы открыть IIS:

    
    inetmgr 
    

2. Выберите корневой каталог (имя корня).

3. Перейдите к Маршрутизации запросов приложений и выберите

   Настройки сервера

   .

4. Выберите

   Включить прокси

   .

5. Щелкните ссылку

   Применить

   на правой панели.

6. На левой панели выберите

   Сайты

   ,

   Веб-сайт по умолчанию

   ,

   URL Rewrite

   .

7. Нажмите

   URL Переписать значок

   .

8. Нажмите

   Открыть компонент

   в меню Действия.

   Откроется консоль конфигурации URL Rewrite.

9. На правой панели выберите

   Добавить правила

   в меню Действия.

   Откроется окно «Добавить правила».

   1. В разделе

      Правила для входящих подключений

      выберите

      Пустое правило

      и нажмите

      OK

      .

   2. Откроется окно конфигурации «Редактировать правило для входящих подключений».

   3. Укажите имя правила.

      Пример:

      правило1

   4. В шаблоне

      укажите

      (iam.+)

      .

   5. В разделе

      Действие

      выберите

      Переписать

      в качестве Типа действия.

   6. В

      Переписать URL

      , укажите URL-адрес CA Privileged Access Management Server Control Enterprise Management в следующем формате.

       

       
       http://enterprise_host:18080/{R:0} 
       

   7. Нажмите

      Применить

      .

10. На правой панели щелкните

    Вернуться к правилам

    .

11. В меню Действия выберите

    Добавить правила

    .

    Откроется окно «Добавить правила».

    1. В разделе

       Правила для входящих подключений

       выберите

       Пустое правило

       и нажмите

       OK

       .

       Откроется окно конфигурации «Редактировать правило для входящих подключений».

    2. Укажите имя правила.

       Пример:

       правило2

    3. В шаблоне

       указать

       (кастилы. +)

       .

    4. В

       Действие

       , выберите

       Переписать

       в качестве типа действия.

    5. В

       URL-адрес перезаписи

       укажите URL-адрес управления предприятием CA Privileged Access Management Server Control в следующем формате.

        

        
        http://enterprise_host:18080/{R:0} 
        

    6. Нажмите

       Применить

       .

12. Выберите

    Сайты

    ,

    Веб-сайт по умолчанию

    ,

    RSA SecurID

    .

13. Включите следующие параметры:

14. Нажмите

    Применить

    .

15. С помощью редактора реестра добавьте токен RSAUSERCustomHeader в следующий раздел реестра:

     
     HKLM\SOFTWARE\SDTI\RSAWebagent 
     

16. Перезапустите IIS.

Доступ к пользовательскому интерфейсу управления сервером CA Privileged Access Manager

На хост-компьютере с установленным RSA создайте PIN-код, который будет использоваться с токеном для доступа к пользовательскому интерфейсу управления сервером CA Privileged Access Manager.

Выполните следующие действия:

1. На главном компьютере с установленным RSA откройте страницу входа, используя следующий URL-адрес:

    
    http:///iam/ac 
    

Дом — Архитектура и дизайн RSA

Услуги

О нас

О нас

Архитектуре более 30 лет! Мы стремимся быть вашим предпочтительным партнером по дизайну, который предоставляет бесценные услуги, используя инновационные технологии для улучшения общества.

Мы рады возможности воплотить ваши идеи в жизнь!

Учить больше

Архитектура

От программирования до окончательного прохождения наша команда здесь, чтобы провести вас через путь проектирования и развить ваш проект от идеи до бумаги и до реализации. Наши клиенты остаются в центре дизайна на протяжении всего процесса. Мы используем наши знания и предыдущий опыт, чтобы улучшить дизайн и обеспечить удовлетворение потребностей и желаний клиента, создавая при этом безопасную и здоровую среду. Независимо от способа доставки: проектирование/заявка/строительство, проектирование/строительство или CMR, наша команда профессионально направит ваш проект до завершения.

Дизайн интерьера

Наши собственные услуги по дизайну интерьера создают плавный и совместный процесс проектирования, что приводит к согласованности между элементами внешнего и внутреннего дизайна. Мы тесно сотрудничаем с клиентом, чтобы выбрать отделку, которая нравится клиенту и способствует хорошему самочувствию. Наша команда обладает обширными базовыми знаниями, а также исследованиями по конкретным проектам, чтобы экспертно рекомендовать материалы, которые лучше всего подходят для использования пространства. Кроме того, мы обеспечиваем планирование и спецификацию мебельного пространства, включая специальные продукты, такие как предметы искусства и аксессуары, для достижения полной координации проекта.

Планирование

На протяжении всего процесса планирования мы фокусируемся на текущих и долгосрочных целях клиента и задаем правильные вопросы, чтобы предвидеть возможные изменения, которые произойдут со временем. Мы помогаем клиенту нарисовать большую картину и проложить дорогу в будущее. Хорошо разработанный план не является жестким, но допускает несколько итераций, которые можно адаптировать с течением времени.

Мебель на заказ

Ваша мебель может выполнять двойную функцию для вашего бизнеса, будучи функциональной и демонстрируя ваш бренд. Наша команда может разработать красивую, функциональную и привлекательную мебель для вашего офиса, ресторана, торгового зала или любого другого места, от стойки регистрации до столов для переговоров и всего, что между ними.

Управление строительства

Как только начинается строительство здания, работа архитектора сводится к проверке соответствия конструкции проекту. Управление строительством включает в себя посещение объекта и отчеты с подробным описанием хода работ, а также любые несоответствия между проектом и строительством. Архитектор является защитником владельца проекта, гарантируя, что застроенная среда будет завершена в соответствии с планом.

Работайте с нами

Свяжитесь с нами

Избранный проект

Total Card, Inc.

Новое здание Total Card, Inc. было завершено в районе озера Лотарингия, расположенном на северо-западе Су-Фолс.

Ключевые цели проекта включали высокий уровень безопасности здания, защиту компьютерных серверов и среду, способствующую улучшению самочувствия и удержанию сотрудников.

Читать далее

Посмотреть больше проектов

Работать с Джереми и командой RSA было очень приятно. Наше видение наших магазинов оправдалось и превзошло все ожидания! Внимание к деталям является безупречным, а конечный продукт более чем удовлетворительным, мы гордимся тем, что работаем с ними каждый раз.

Эндрю Дж. ТикнорВладелец/Оператор - Jersey Mike's Subs

Мой опыт работы с RSA был только положительным. С самого начала все, что я сказала Джастину, это то, что я хочу профессионального, а не причудливого. Он передал именно то, что я имел в виду. Я ожидал, что строительство нового здания отнимет много времени от моей повседневной деятельности. Но общение между Джастином и нашими подрядчиками было настолько исключительным, что мне почти не пришлось вмешиваться. Если мне когда-нибудь понадобится еще одно новое здание, я обязательно буду работать с RSA.

Боб ФэнУправляющий партнер - TMRG Broadcasting

Оперный театр Госса в Уотертауне, Южная Дакота, очень доволен нашим опытом работы с Джастином в RSA. 130-летнее историческое здание не имело действующих планов этажей. Кривые стены здания площадью 37 000 квадратных футов были утомительно измерены, чтобы создать реальный набор планов для дальнейшей работы. Они также предложили большую помощь с возникшими препятствиями для сидения на балконе. Общение, которое мы получили с Джастином, было феноменальным, и я действительно могу сказать, что нам очень понравилось работать с ним.

Мисси СиннерИсполнительный директор - Goss Opera House

В Montgomery's мы увлечены дизайном; не только для интерьера дома, но и для того, как выглядят наши розничные магазины. Нам очень повезло встретить Джереми С. в RSA и работать с ним в течение последнего десятилетия над многочисленными проектами, в которых он помог нам улучшить наш бренд, изменив внешний вид наших зданий. У Джереми потрясающий дизайнерский взгляд, и он увлечен тем, чтобы каждая деталь была идеальной в наших проектах. J.C. и RSA — огромная часть нашего успеха

Эрик СинклерПрезидент - Montgomery's

Знакомьтесь с командой: Микайла Браун

3 августа 2022 г.

Познакомьтесь с еще одним членом нашей команды: дизайнером интерьеров Микайлой Браун! Микайла родом из Делл-Рапидс и недавно вернулась в этот район после работы в

. Подробнее

Знакомьтесь с командой: Митч Шлингман

19 июля 2022 г.

Наша команда продолжает расти! Мы хотели бы представить вам недавнего выпускника SDSU Митча Шлингмана! Он знаком с нашим офисом, так как прошлым летом 9 лет проходил стажировку в RSA.0003

Подробнее

Знакомьтесь с командой: Шайе Хорачек

8 апреля 2022 г.

Это был вихрь первого квартала, и самое время представить вам Шей Горачек! Шей присоединилась к команде в конце 2021 года и является

. Подробнее

Больше новостей

ШАГ 4 Установка и настройка RSA и EDGE1

Обратная связь Редактировать

Твиттер LinkedIn Фейсбук Эл. адрес

• Статья
• 08. 10.2021
• 11 минут на чтение

Применяется к: Windows Server 2022, Windows Server 2019, Windows Server 2016

RSA — это сервер RADIUS и OTP, который устанавливается перед настройкой RADIUS и OTP.

Для настройки развертывания RSA выполните следующие действия:

1. Установите операционную систему на сервер RSA. Установите Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 на сервер RSA.

2. Настройте TCP/IP на RSA. Настройте параметры TCP/IP на сервере RSA.

3. Скопируйте файлы установки Authentication Manager на сервер RSA. После установки операционной системы на RSA скопируйте файлы Authentication Manager на компьютер RSA.

4. Присоедините сервер RSA к домену CORP. Присоедините RSA к домену CORP.

5. Отключить брандмауэр Windows на RSA. Отключите брандмауэр Windows на сервере RSA.

6. Установите RSA Authentication Manager на сервер RSA. Установите Диспетчер аутентификации RSA.

7. Настройка диспетчера аутентификации RSA. Настройте диспетчер аутентификации.

8. Создать DAProbeUser. Создайте учетную запись пользователя для проверки.

9. Установите программный токен RSA SecurID на CLIENT1. Установите программный токен RSA SecurID на CLIENT1.

10. Настройте EDGE1 в качестве агента аутентификации RSA. Настройте агент аутентификации RSA на EDGE1.

11. Настройте EDGE1 для поддержки аутентификации OTP. Настройте OTP для DirectAccess и проверьте конфигурацию.

Установить операционную систему на сервер RSA

1. На RSA запустить установку Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012.

2. Следуйте инструкциям для завершения установки, указав Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 (полная установка) и надежный пароль для локальной учетной записи администратора. Войдите в систему, используя локальную учетную запись администратора.

3. Подключите RSA к сети с доступом в Интернет и запустите Центр обновления Windows, чтобы установить последние обновления для Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012, а затем отключитесь от Интернета.

4. Подключите RSA к подсети Corpnet.

Настройка TCP/IP на RSA

1. В задачах начальной настройки щелкните Настройка сети .

2. В Сетевые соединения , щелкните правой кнопкой мыши Подключение по локальной сети и выберите Свойства .

3. Щелкните Интернет-протокол версии 4 (TCP/IPv4) , а затем щелкните Свойства .

4. Нажмите Используйте следующий IP-адрес . В IP-адрес введите 10.0.0.5 . В маске подсети введите 255. 255.255.0 . В поле Шлюз по умолчанию введите 10.0.0.2 . Нажмите Использовать следующие адреса DNS-серверов , в Предпочтительный DNS-сервер , введите 10.0.0.1 .

5. Щелкните Дополнительно , а затем щелкните вкладку DNS .

6. В DNS-суффиксе для этого подключения введите corp.contoso.com , а затем дважды щелкните OK .

7. В диалоговом окне Свойства подключения по локальной сети нажмите Закрыть .

8. Закройте сетевые подключения 9Окно 0835.

1. Щелкните правой кнопкой мыши Мой компьютер и выберите Свойства .

2. В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить .

3. В Имя компьютера , введите RSA . В поле Member of щелкните Домен , введите corp.contoso.com и щелкните 9.0834 ОК .

4. Когда вас попросят ввести имя пользователя и пароль, введите User1 и его пароль и нажмите OK .

5. В диалоговом окне приветствия домена нажмите OK .

6. Когда вам будет предложено перезагрузить компьютер, нажмите OK .

7. В диалоговом окне Свойства системы нажмите Закрыть .

8. При появлении запроса на перезагрузку компьютера нажмите Перезагрузить сейчас .

9. После перезагрузки компьютера введите User1 и пароль, выберите CORP в раскрывающемся списке Log on to: и нажмите OK .

Отключить брандмауэр Windows на RSA

1. Щелкните Пуск , щелкните Панель управления , щелкните Система и безопасность и щелкните Брандмауэр Windows .

2. Щелкните Включение или выключение брандмауэра Windows .

3. Отключите брандмауэр Windows для всех параметров.

4. Щелкните OK и закройте брандмауэр Windows.

Установите RSA Authentication Manager на сервер RSA

1. Если в какой-либо момент во время этого процесса появится предупреждение системы безопасности, щелкните Run , чтобы продолжить.

2. Откройте папку установки C:\RSA и дважды щелкните autorun.exe .

3. Нажмите Установить сейчас , нажмите Далее , выберите верхний вариант для Северной и Южной Америки и нажмите Далее .

4. Выберите Я принимаю условия лицензионного соглашения и нажмите Далее .

5. Выберите Первичный экземпляр и нажмите Далее .

6. В поле Имя каталога : введите C:\RSA и нажмите Далее .

7. Убедитесь, что имя сервера (RSA.corp.contoso.com) и IP-адрес указаны правильно, и нажмите Далее .

8. Перейдите в папку C:\RSA Installation\License and Token и нажмите Далее .

9. На странице Проверка файла лицензии нажмите Далее .

10. В поле User ID введите Administrator , а в поле Password и Confirm Password поля введите надежный пароль. Щелкните Далее .

11. На экране выбора журнала примите значения по умолчанию и нажмите Далее .

12. На сводном экране щелкните Install .

13. После завершения установки нажмите Готово .

Настройка диспетчера аутентификации RSA

1. Если консоль безопасности RSA не открывается автоматически, на рабочем столе компьютера RSA дважды щелкните «Консоль безопасности RSA».

2. Если появится предупреждение о сертификате безопасности или оповещение о безопасности, нажмите Продолжить на этот веб-сайт или нажмите Да , чтобы продолжить, и добавьте этот сайт в надежные сайты, если потребуется.

3. В поле ID пользователя введите Администратор и нажмите OK .

4. В поле Пароль введите пароль для учетной записи администратора и нажмите Войти .

5. Вставьте информацию о токене.

   1. В консоли безопасности RSA щелкните Аутентификация и щелкните Токены SecurID .

   2. Щелкните Задание импорта токенов , а затем щелкните Добавить новый .

   3. В разделе Параметры импорта нажмите Обзор . Найдите и выберите XML-файл токенов в папке C:\ RSA Installation\License and Token и нажмите 9.0834 Открыть .

   4. Нажмите Отправить задание внизу страницы.

6. Создать нового пользователя OTP.

   1. В RSA Security Console щелкните вкладку Identity , щелкните Users и щелкните Add New .

   2. В разделе Фамилия: введите User , а в разделе User ID: введите User1 (UserID должен совпадать с именем пользователя AD, используемым для этой лабораторной работы). В Пароль: и Подтверждение пароля: разделов введите надежный пароль. Снимите флажок «Требовать смены пароля при следующем входе в систему» ​​ и нажмите Сохранить .

7. Назначьте User1 одному из импортированных токенов.

   1. На странице Users щелкните User1 и щелкните SecurID Tokens .

   2. Нажмите Токены SecurID и нажмите Назначить токен .

   3. Под заголовком Серийный номер щелкните первый указанный номер и щелкните Назначить .

   4. Щелкните назначенный токен и щелкните Изменить . В разделе SecurID PIN Management для User Authentication Requirement выберите Не требовать PIN (только токенкод) .

   5. Нажмите Сохранить и распространить токен .

   6. 9 числа0834 На странице Распространение программного токена в разделе Основы щелкните Выпустить файл токена (SDTID) .

   7. На странице Распространение программного токена в разделе Параметры файла токена снимите флажок Включить защиту от копирования . Нажмите Нет пароля и Далее .

   8. На странице Распространение программного токена в разделе Загрузить файл нажмите Загрузить сейчас . Нажмите Сохранить . Перейдите к C:\RSA Installation и нажмите Сохранить и Закрыть .

   9. Сверните RSA Security Console для последующего использования.

8. Настройте Authentication Manager как сервер RADIUS.

   1. На рабочем столе компьютера RSA дважды щелкните «Консоль управления безопасностью RSA» .

   2. При появлении предупреждения/оповещения безопасности о сертификате безопасности нажмите Продолжить на этот веб-сайт или нажмите Да , чтобы продолжить, и добавьте этот сайт в надежные сайты, если потребуется.

   3. Введите идентификатор пользователя и пароль и нажмите Войти .

   4. Нажмите Конфигурация развертывания — RADIUS — Настройка сервера .

   5. На странице Требуются дополнительные учетные данные введите идентификатор пользователя и пароль администратора и нажмите OK .

   6. На странице Configure RADIUS Server введите тот же пароль, который используется для администратора для Secrets и Master Password . Введите ID пользователя и пароль администратора и нажмите Configure .

   7. Убедитесь, что отображается сообщение «Успешно настроен сервер RADIUS» . Щелкните Готово . Закройте консоль управления RSA .

   8. Вернуться к "Консоль безопасности RSA" .

   9. На вкладке RADIUS щелкните Серверы RADIUS . Убедитесь, что rsa.corp.contoso.com указан в списке.

9. Настройте сервер RSA в качестве клиента аутентификации RSA.

   1. На вкладке RADIUS щелкните Клиенты RADIUS и Добавить новый .

   2. Установите флажок ЛЮБОЙ RADIUS-клиент .

   3. Введите надежный пароль по вашему выбору в поле Shared Secret . Этот же пароль вы будете использовать позже при настройке EDGE1 для OTP.

   4. Оставьте поле IP-адрес пустым, а в поле Марка/модель укажите Standard RADIUS .

   5. Щелкните Сохранить без агента RSA .

10. Создайте файлы, необходимые для настройки EDGE1 в качестве агента аутентификации RSA.

    1. На вкладке Access выделите Агенты аутентификации и нажмите Добавить новый .

    2. Введите EDGE1 в поле Hostname и нажмите Resolve IP .

    3. Обратите внимание, что IP-адрес для EDGE1 теперь отображается в поле IP-адрес . Нажмите Сохранить .

11. Создайте файл конфигурации для сервера EDGE1 (AM_Config.zip).

    1. На вкладке Access выделите Агенты аутентификации и нажмите Создать файл конфигурации .

    2. На странице Создать файл конфигурации щелкните Создать файл конфигурации , а затем щелкните Загрузить сейчас .

    3. Щелкните Сохранить , перейдите к C:\ RSA Installation и щелкните Сохранить .

    4. Нажмите Закройте на Загрузить Завершить диалоговое окно .

12. Создайте секретный файл узла для сервера EDGE1 (EDGE1_NodeSecret.zip).

    1. На вкладке Access выделите Агенты аутентификации и нажмите Управление существующими .

    2. Щелкните текущий сконфигурированный узел EDGE1 и щелкните Manage Node Secret .

    3. Проверьте Создайте новый случайный секрет узла и экспортируйте секрет узла в файл флажок.

    4. Введите тот же пароль, что и для администратора, в поля Encryption Password и Confirm Encryption Password и нажмите Save .

    5. На странице Создан секретный файл узла нажмите Загрузить сейчас .

    6. В диалоговом окне Загрузка файла щелкните Сохранить , перейдите к установке C:\RSA и щелкните Сохранить . Нажмите Закройте в диалоговом окне Загрузка завершена .

    7. С носителя RSA Authentication Manager скопируйте \auth_mgr\windows-x86_64\am\rsa-ace_nsload\win32-5.0-x86\agent_nsload.exe в C:\RSA Installation.

Create DAProbeUser

1. В RSA Security Console щелкните вкладку Identity , щелкните Users и щелкните Add New .

2. В Фамилия: в разделе введите Probe , а в разделе ID пользователя: введите DAProbeUser . В разделах Password: и Confirm Password: введите надежный пароль. Снимите флажок «Требовать смены пароля при следующем входе в систему» ​​ и нажмите Сохранить .

Установка программного токена RSA SecurID на CLIENT1

Используйте эту процедуру для установки программного токена SecurID на CLIENT1.

Установите программный токен SecurID

1. На компьютере CLIENT1 создайте папку C:\RSA Files. Скопируйте файл Software_Tokens.zip из папки C:\RSA Installation на компьютере RSA в папку C:\RSA Files. Извлеките файл User1_000031701832.SDTID в C:\RSA Files на CLIENT1.

2. Получите доступ к источнику носителя программного токена RSA SecurID и дважды щелкните RSASECURIDTOKEN410 в папке клиентского приложения SecurID SoftwareToken , чтобы начать установку RSA SecurID. Если Открыть файл — появится сообщение с предупреждением о безопасности , затем нажмите Выполнить .

3. В диалоговом окне RSA SecurID Software Token — InstallShield Wizard дважды щелкните Next .

4. Примите лицензионное соглашение и нажмите Далее .

5. В диалоговом окне Тип установки выберите Обычный , щелкните Далее и щелкните Установить .

6. Если Появится диалоговое окно «Контроль учетных записей пользователей» , подтвердите, что действие, которое оно отображает, соответствует вашим требованиям, а затем нажмите Да .

7. Установите флажок Запустить программный токен RSA SecurID и нажмите Готово .

8. Щелкните Импорт из файла .

9. Щелкните Просмотрите , выберите C:\RSA Files\User1_000031701832.SDTID и щелкните Открыть .

10. Нажмите ОК дважды.

Настройка EDGE1 в качестве агента аутентификации RSA

Используйте эту процедуру, чтобы настроить EDGE1 для выполнения аутентификации RSA.

Настройка агента аутентификации RSA

1. На EDGE1 откройте проводник Windows и создайте папку C:\RSA Files. Найдите установочный носитель RSA ACE.

2. Скопируйте файлы agent_nsload.exe, AM_Config.zip и EDGE1_NodeSecret.zip с носителя RSA в C:\RSA Files.

3. Извлеките содержимое обоих zip-файлов в следующие места:

   1. C:\Windows\system32\

   2. C:\Windows\SysWOW64\

4. Скопируйте agent_nsload.exe в папку C:\Windows\SysWOW64\.

5. Откройте командную строку с повышенными привилегиями и перейдите в папку C:\Windows\SysWOW64.

6. Введите agent_nsload.exe -f nodesecret.rec -p <пароль> , где <пароль> — это надежный пароль, созданный во время первоначальной настройки RSA. Нажмите Ввод.

7. Скопируйте C:\Windows\SysWOW64\securid в C:\Windows\System32.

Настройте EDGE1 для поддержки аутентификации OTP

Используйте эту процедуру, чтобы настроить OTP для DirectAccess и проверить конфигурацию.

Настройка OTP для DirectAccess

1. На EDGE1 откройте Диспетчер серверов и щелкните УДАЛЕННЫЙ ДОСТУП на левой панели.

2. Щелкните правой кнопкой мыши EDGE1 на панели СЕРВЕРЫ и выберите Управление удаленным доступом .

3. Нажмите Конфигурация .

4. В окне DirectAccess Setup в разделе Шаг 2 — Сервер удаленного доступа щелкните Изменить .

5. Нажмите Далее три раза и в разделе Аутентификация выберите Двухфакторная аутентификация и Использовать OTP и убедитесь, что установлен флажок Использовать сертификаты компьютера . Убедитесь, что для корневого ЦС установлено значение 9.0834 CN=corp-APP1-CA . Щелкните Далее .

6. В разделе OTP RADIUS Server дважды щелкните пустое поле Server Name .

7. В диалоговом окне Добавить сервер RADIUS введите RSA в поле Имя сервера . Щелкните Изменить рядом с полем Shared secret и введите тот же пароль, который вы использовали при настройке клиентов RADIUS на сервере RSA в поле 9.0834 Новый секрет и Подтвердите новые поля секрета . Дважды щелкните OK и щелкните Далее .

   Примечание

   Если сервер RADIUS находится в домене, отличном от сервера удаленного доступа, то в поле Имя сервера должно быть указано полное доменное имя сервера RADIUS.

8. В разделе OTP CA Servers выберите APP1.corp.contoso.com и нажмите Добавить . Щелкните Далее .

9. На странице Шаблоны сертификатов OTP нажмите Обзор , чтобы выбрать шаблон сертификата, используемый для регистрации сертификатов, выданных для проверки подлинности OTP, и в диалоговом окне Шаблоны сертификатов выберите DAOTPLogon . Нажмите OK . Щелкните . Просмотрите , чтобы выбрать шаблон сертификата, используемый для регистрации сертификата, используемого сервером удаленного доступа для подписания запросов на регистрацию сертификата одноразового пароля, а на Шаблоны сертификатов В диалоговом окне выберите DAOTPRA . Нажмите Хорошо . Щелкните Далее .

10. На странице Настройка сервера удаленного доступа нажмите Готово и нажмите Готово в мастере DirectAccess Expert .

11. В диалоговом окне Проверка удаленного доступа нажмите Применить , дождитесь обновления политики DirectAccess и нажмите Закрыть .

12. На экране Start введите powershell.exe , щелкните правой кнопкой мыши powershell , выберите Дополнительно и щелкните Запуск от имени администратора . Если появится диалоговое окно Контроль учетных записей пользователей , подтвердите, что отображаемое в нем действие соответствует вашим требованиям, а затем щелкните Да .

13. В окне Windows PowerShell введите gpupdate /force и нажмите клавишу ВВОД.

14. Закройте и снова откройте консоль управления удаленным доступом и убедитесь, что все параметры OTP верны.

Обратная связь

Отправить и просмотреть отзыв для

Этот продукт Эта страница

Просмотреть все отзывы о странице

Как использовать ключи RSA AWS KMS для автономного шифрования

В этой записи блога обсуждается, как можно использовать открытые ключи RSA службы управления ключами AWS (AWS KMS) на конечных клиентах или устройствах и шифровать данные, а затем расшифровывать данные с помощью закрытых ключей, защищенных в AWS KMS.

Асимметричная криптография — это криптографическая система, использующая пар ключей . Каждая пара состоит из открытого ключа, доступ к которому может увидеть любой, и закрытого ключа, к которому могут получить доступ только уполномоченные лица. У этой системы есть полезное свойство: все, что зашифровано открытым ключом, может быть расшифровано только соответствующим закрытым ключом. Популярным методом генерации пар ключей и шифрования данных является алгоритм и криптосистема RSA.

Для пар ключей RSA вычисление закрытого ключа из открытого ключа считается невыполнимым с вычислительной точки зрения, поэтому пары ключей RSA можно использовать как для аутентификации, так и для шифрования. Функции асимметричного шифрования позволяют разным сторонам обмениваться информацией в ненадежном домене, таком как Интернет, без необходимости предварительного обмена какими-либо другими секретами. Однако этот тип шифрования создает проблему обеспечения безопасности закрытого ключа, поскольку закрытый ключ может расшифровывать все сообщения, которые передаются большим количеством конечных пользователей.

AWS KMS предоставляет простые API-интерфейсы, которые можно использовать для безопасного создания, хранения и управления ключами, включая пары ключей RSA внутри аппаратных модулей безопасности (HSM). Пары ключей генерируются в сертифицированных FIPS 140-2 HSM, которыми управляет AWS. Затем вы можете использовать эти закрытые ключи через API для выполнения таких действий, как расшифровка зашифрованных текстов, а это означает, что закрытые ключи открытого текста никогда не покидают HSM, что обеспечивает гарантии конфиденциальности закрытого ключа. Дополнительные API позволяют клиенту получить копию соответствующего открытого ключа в виде открытого текста, что позволяет использовать открытые ключи RSA в автономном режиме или в автономном режиме.

Ограничения асимметричной криптографии

Основным недостатком асимметричной криптографии является тот факт, что вы не можете шифровать большие фрагменты данных. Когда у вас есть 2048-битная пара ключей RSA и что-то шифруется с помощью шифра RSAES_OASEP_SHA_256, максимальный объем данных, которые вы можете зашифровать, составляет 190 байт.

В отличие от этого, симметричные шифровальные шифры, использующие цепочку или встречный режим, не имеют этого ограничения и позволяют шифровать данные в десятках гигабайт. Алгоритмы симметричного шифрования, такие как Advanced Encryption Standard (AES), также выигрывают от более высокой скорости шифрования данных из-за меньшего размера ключа и менее сложных операций, которые могут быть встроены в оборудование.

Комбинируя эти два алгоритма в гибридной криптосистеме, вы даете конечным клиентам с открытым ключом возможность шифровать большие объемы информации. Клиент генерирует случайный 256-битный ключ AES, который должен быть получен из безопасного источника, такого как /dev/urandom или выделенного встроенного чипа. Затем клиент шифрует свою большую полезную нагрузку, используя такой режим работы, как AES-GCM или AES-CBC, используя этот 256-битный ключ AES. Затем клиент шифрует этот 256-битный ключ AES с помощью открытого ключа RSA (см. шаг 5 на рис. 1). Затем конечные клиенты передают только зашифрованные данные по незащищенным каналам, сохраняя конфиденциальность полезных данных.

Проблема, с которой часто сталкиваются клиенты, заключается в том, что они хотят использовать AWS KMS для своих свойств безопасности, но также хотят получить доступ к своим ключам KMS с устройств, в которые не встроены учетные данные AWS. Без учетных данных AWS устройство не может вызывать API AWS. В этом сообщении блога показано, как вы можете использовать гибридную криптосистему, в которой открытые ключи RSA можно загружать или встраивать в устройства, чтобы преодолеть эту проблему.

Предпосылки и исходные соображения

В этом пошаговом руководстве предполагается, что у вас есть некоторое представление о шифрах RSA и схемах симметричного шифрования, таких как AES. В пошаговом руководстве используется OpenSSL для демонстрации процесса шифрования, но аналогичные библиотеки можно использовать и на клиентском устройстве.

В пошаговом руководстве также предполагается, что у вас есть пользователь AWS Identity and Access Management (IAM) с разрешениями на доступ к сервису AWS KMS и интерфейс командной строки AWS (AWS CLI) с соответствующими учетными данными.

При создании ключа KMS также создается политика ключа, определяющая доступ к нему. Политика ключей по умолчанию позволяет всем пользователям в вашей учетной записи с действиями AWS KMS в своих политиках IAM получать доступ к ключу KMS. Ключевая политика для данного ключа KMS является основным методом определения доступа.

Важно : За услуги, используемые в этом примере, взимается плата. Стоимость каждой услуги указана на соответствующей странице с ценами на услуги. Дополнительные сведения см. в разделе Цены на AWS KMS.

Архитектурный обзор

Этот пост содержит процедуры для выполнения следующих операций, которые также показаны на рисунке 1:

1. Создайте пару ключей RSA в AWS KMS.
2. Загрузите или предварительно установите открытый ключ AWS KMS на конечное клиентское устройство.
3. Создайте 256-битный ключ AES на конечном клиенте.
4. Шифрование больших объемов полезных данных на конечном клиенте с помощью 256-битного ключа AES.
5. Зашифруйте 256-битный ключ AES с помощью открытого ключа AWS KMS.
6. Передайте зашифрованные полезные данные и ключ.
7. Расшифруйте 256-битный ключ AES с помощью AWS KMS.
8. Расшифруйте данные полезной нагрузки с помощью общего 256-битного ключа AES.

Рисунок 1. Действия для гибридного шифрования

На этой схеме показано конечное клиентское устройство, ненадежная сеть, например сотовая сеть, и облако AWS. Пара ключей RSA создается в AWS KMS, после чего открытый ключ может быть встроен в конечного клиента или извлечен конечным клиентом через HTTP(S) или другими удаленными средствами. При любых обстоятельствах на конечном клиенте сохраняется только открытый ключ, а это означает, что на устройстве не хранятся никакие секреты.

Способ размещения открытого ключа на конечных клиентах зависит от того, какой у них доступ к сети. Например, встроенное устройство Интернета вещей (IoT) для машин для майнинга может никогда не подключаться к Интернету, но может связываться с центральной системой через частную сеть 5G. В этом случае вы должны разместить этот открытый ключ в этой сети для извлечения. Для других отключенных устройств IoT, которые могут подключаться к Интернету, таких как устройства для умного дома, вы можете захотеть разместить открытый ключ на веб-сервере по предварительно определенному URL-адресу или через API.

Примечание: Всякий раз, когда вы продаете открытые ключи по ненадежному каналу, например, когда вы продаете открытый ключ через API, вы должны убедиться, что ключ можно каким-то образом проверить, чтобы убедиться, что он не был подделан. . Обычно это делается путем продажи ключей через соединение HTTPS, где целостность ключей обеспечивается сертификатом X.509, который использовался в соединении TLS. Сертификат X.509 также проверяет ассоциацию с владельцем пары ключей, обычно по имени домена.

Реализовать решение

Следующие шаги можно использовать в качестве проверки концепции, чтобы помочь вам реализовать гибридную криптосистему с использованием открытого ключа KMS на примере устройства.

Создание ключей в AWS KMS

На первом этапе этого решения вы создаете пару асимметричных ключей RSA в AWS KMS (шаг 1 в обзоре архитектуры). С помощью AWS KMS вы можете создавать пары ключей различных размеров в соответствии с вашими требованиями или стандартами безопасности. Дополнительные сведения см. в разделе Выбор типа ключа KMS в документации AWS KMS.

Чтобы создать пару ключей в AWS KMS, используйте API CreateKey. В этом примере вы создадите пару ключей RSA с RSA_2048 для параметра CustomerMasterKeySpec и ENCRYPT_DECRYPT для параметра KeyUsage в интерфейсе командной строки AWS. В этом посте используются 2048-битные ключи, но обратите внимание, что AWS KMS позволяет использовать ключи большего размера. Интерфейс командной строки вернет значение KeyId, которое однозначно идентифицирует ключ KMS в вашей учетной записи, на что следует обратить внимание.

Создание ключа KMS с помощью интерфейса командной строки

См. документацию по созданию асимметричных ключей KMS, чтобы узнать, как использовать Консоль управления AWS для создания пары ключей KMS с такими же свойствами, как показано здесь.

Примечание. При создании ключа KMS он регистрируется сервисом AWS CloudTrail, который отслеживает и записывает действия в вашей учетной записи. Все вызовы API к сервису AWS KMS регистрируются в CloudTrail, который можно использовать для аудита доступа к ключам KMS.

Чтобы ваш ключ KMS можно было идентифицировать с помощью удобочитаемой строки, а не KeyId, вы можете назначить псевдоним для ключа KMS (замените значение target-key-id <1234abcd-12ab-34cd-56ef-1234567890ab> на ваш идентификатор ключа). Это упрощает использование и управление.

Чтобы создать псевдоним ключа KMS для вашего ключа с помощью интерфейса командной строки

Загрузите открытый ключ с AWS KMS

Преимущество асимметричного шифрования заключается в том, что вы можете распространять открытый ключ в большой, ненадежной сети, а открытый ключ можно использовать только для шифрования. Расшифровка этих сообщений может быть проведена только с помощью соответствующего закрытого ключа. Вы можете использовать AWS KMS Encrypt API для шифрования данных с помощью пары ключей KMS (в частности, открытого ключа). Однако, поскольку API-интерфейсы AWS аутентифицируются с помощью подписи, у вас должен быть доступ к учетным данным AWS, чтобы использовать эти API-интерфейсы, чего вы, возможно, не захотите делать на ненадежных устройствах. Кроме того, в частной сети 5G у вас может не быть возможности вызывать конечные точки AWS KMS API с конечных клиентов. Вместо этого вы можете загрузить открытый ключ из локального источника или внедрить его в конечный клиент во время изготовления.

Чтобы получить копию открытого ключа из пары ключей AWS KMS, можно использовать API GetPublicKey. В следующем примере показано, как использовать это с командой AWS CLI get-public-key и ссылаться на псевдоним ключа, который вы установили ранее.

Чтобы просмотреть открытый ключ для пары ключей KMS с помощью интерфейса командной строки

Возвращаемое значение этого API будет содержать несколько элементов, включая PublicKey. Возвращаемое значение PublicKey — это X.509 в кодировке DER., а поскольку вы используете интерфейс командной строки AWS, он закодирован в base64 для удобства чтения. Используя интерфейс командной строки AWS, вы можете запросить только возвращаемое значение PublicKey, декодировать его с помощью base64, а затем сохранить ключ в файл на диске следующим образом.

Чтобы использовать интерфейс командной строки AWS для запроса только открытого ключа, затем расшифровать его с помощью base64 и вывести в файл

В этом примере локальный компьютер, на котором вы сохранили файл public_key. der, теперь будет представлять конечное клиентское устройство.

Примечание. Если вы вызываете этот API с помощью одного из AWS SDK, например boto3, значение PublicKey не кодируется в base64.

Создайте 256-битный симметричный ключ AES на конечном клиенте

Хотя у конечного клиента теперь есть копия открытого ключа из связанного закрытого ключа KMS, открытый ключ нельзя использовать для шифрования данных, которые вы планируете передавать, из-за ограничений на размер данных, которые могут быть зашифрованы. Вместо этого вы можете использовать симметричное шифрование. Как правило, симметричные ключи меньше, чем асимметричные, шифры работают быстрее при шифровании данных, а результирующий зашифрованный текст по размеру аналогичен исходным данным.

Для генерации симметричного ключа необходимо использовать источник случайной энтропии. Некоторые операционные системы предлагают блочный доступ к аппаратным источникам случайных чисел, таким как /dev/hwrng. Чтобы предоставить пример процесса в этой записи блога, вы будете использовать утилиту OpenSSL rand, которая использует криптографически безопасный псевдослучайный генератор (CSPRNG), заполненный /dev/urandom. В производственных системах у вас могут быть более сильные источники энтропии, на которые можно положиться, или требования соответствия для генерации случайных чисел. В средах с аппаратными ограничениями следует особенно внимательно следить за тем, чтобы источники энтропии были криптографически безопасными. Следующая команда использует OpenSSL для создания 256-битного (32 байта) ключа AES и кодирования его в base64, а затем сохраняет на диск в виде открытого текста как key.b64.

Примечание: Любой, у кого есть доступ к этой файловой системе, будет иметь доступ к этому ключу.

Чтобы использовать команду OpenSSL rand для создания симметричного ключа и вывода его в файл

Шифрование данных, отправляемых конечным клиентом

Теперь, когда у вас есть два разных типа ключей на конечном клиенте, вы можете использовать гибридную криптосистему для шифрования большого текстового файла. Сначала вы создадите образец файла для шифрования в вашей системе. Выводя несколько байтов из /dev/urandom, вы можете создать этот файл нужного вам размера. Следующая команда выводит 200 случайных байтов, кодирует файл с помощью base64 и записывает его на диск в файл с именем encrypt.me.

Для создания образца файла из случайных данных, который будет зашифрован позже

Далее вы зашифруете вновь созданный файл с помощью 256-битного ключа AES, который вы создали ранее (который закодирован в base64). С помощью командной строки OpenSSL вы зашифруете файл на диске и создадите новый файл с именем encrypt.me.enc.

Примечание: В демонстрационных целях это решение использует OpenSSL для завершения процесса шифрования. Однако утилита командной строки OpenSSL enc не позволяет использовать шифр aes-256-gcm. Режим счетчика Галуа (GCM) рекомендуется при шифровании и отправке данных, так как он включает аутентификацию, чтобы зашифрованный текст нельзя было подделать при передаче. Вместо этого для этой демонстрации вы будете использовать aes-256-cbc, который не аутентифицирован.

Чтобы использовать команду OpenSSL enc для шифрования файла примера с помощью симметричного ключа

Зашифровать 256-битный ключ AES

Чтобы данные можно было снова расшифровать, вам нужно будет поделиться с получателем одним и тем же 256-битным ключом AES. Чтобы поделиться этим только с тем, кто может использовать закрытый ключ KMS, созданный вами ранее, вы можете зашифровать симметричный ключ (key.b64) с помощью открытого ключа RSA, который вы получили ранее (public_key.der).

Опять же, вы будете использовать OpenSSL, чтобы увидеть, как это работает, и необходимые параметры шифрования. При шифровании или дешифровании с помощью пары ключей KMS RSA можно использовать один из двух алгоритмов шифрования: RSAES_OAEP_SHA_1 или RSAES_OAEP_SHA_256. Они определяют наборы шифров, используемые при шифровании, которые в настоящее время поддерживаются AWS KMS для шифрования.

Чтобы использовать команду OpenSSL pkeyutl для шифрования симметричного ключа с помощью локальной копии открытого ключа KMS

Эта команда создает на диске новый файл с именем key.b64.enc. Этот файл представляет собой зашифрованный 256-битный ключ AES, который теперь можно безопасно передавать по незащищенной сети, такой как Интернет. Последние два параметра в команде определяют используемый режим заполнения (OAEP) и длину дайджеста сообщения (SHA-256), которые соответствуют параметрам, доступным для расшифровки при использовании API AWS KMS.

Примечание: Вы должны безопасно удалить как исходный файл полезной нагрузки (encrypt.me), так и открытый 256-битный ключ AES (key.b64), если вы хотите, чтобы кто-либо еще не получил доступ к этим файлам. К этому моменту у вас на диске будет три файла: public_key.der, encrypt.me.enc и key.b64.enc. Если вы хотите проверить процесс расшифровки позже в этом примере, сохраните эти файлы.

В рабочей среде вы можете никогда не записывать какие-либо из этих значений на диск. Вместо этого вы можете хранить все значения в памяти и записывать на диск только зашифрованные данные (зашифрованный текст), очищая память после завершения этого процесса.

Теперь вы можете использовать выбранный вами метод для передачи зашифрованных файлов по незащищенной сети без ущерба для конфиденциальности этих файлов. Для случаев использования умных бытовых устройств вы можете загружать зашифрованные файлы в Amazon Simple Storage Service (Amazon S3), высоконадежную систему хранения, к которой можно получить доступ из Интернета, с учетом превентивных методов обеспечения безопасности, которые рекомендует AWS. Позже другой сервис может извлечь эти файлы из S3 и, имея правильные разрешения для ключа KMS, расшифровать файлы с помощью API-интерфейса AWS KMS Decrypt.

Расшифровать файлы

Имея доступ к операции расшифровки ключа KMS и зашифрованных файлов, теперь вы можете снова получить файл данных в виде открытого текста. Для этого повторите предыдущие шаги, но в обратном порядке. Это включает в себя расшифровку 256-битного ключа AWS с помощью API AWS KMS, а затем использование этого результата для расшифровки зашифрованных данных. Для выполнения этих действий вам потребуется доступ к API AWS KMS, поскольку закрытый ключ существует в виде открытого текста только в модулях HSM AWS KMS.

Для расшифровки файлов

1. Первым шагом является расшифровка 256-битного ключа AWS. Вам нужно будет использовать интерфейс командной строки AWS для отправки файла key.b64.enc в API AWS KMS и указать алгоритм, который вы использовали для шифрования файла (RSAES_OAEP_SHA_256). Используйте следующую команду, чтобы получить 256-битный ключ AES в виде открытого текста. Опять же, вы используете селектор –query для вывода только открытого текста, а затем декодируете значение base64.

    aws kms расшифровать --key-id псевдоним/example-rsa-key \
   --файл зашифрованного текста b://key. b64.enc \
   --алгоритм-шифрования RSAES_OAEP_SHA_256 --выходной текст \
   --query 'Обычный текст' | base64 --decode > decrypted_key.b64 

2. Последний шаг в расшифровке данных — отменить процесс шифрования CBC, который вы использовали в OpenSSL. Если использовался другой режим симметричного шифрования, например AES-GCM, вам нужно было бы расшифровать с помощью этого алгоритма и входного 256-битного ключа AES. Используйте следующую команду OpenSSL, чтобы получить исходную полезную нагрузку в виде открытого текста.

    openssl enc -d -aes-256-cbc \
   -in encrypt.me.enc -out decrypted.file \
   -pass файл:./decrypted_key.b64 

Заключение

В этом посте вы узнали, как комбинировать пары асимметричных ключей AWS KMS с локально созданными симметричными ключами для шифрования и обмена данными, размер которых превышает 190 байт, без сохранения секрета на клиентском устройстве. Воспользовавшись преимуществами криптосистемы RSA для автономного шифрования, вы можете уменьшить раскрытие открытых текстовых данных или секретов для устройств, находящихся вне вашего контроля, и без необходимости выполнять сложный обмен ключами. Используя шаги, описанные в этом решении, вы можете более безопасно обмениваться большими объемами данных, например файлами обновлений или параметрами конфигурации. Дополнительные сведения о функции асимметричных ключей в AWS KMS см. в Руководстве разработчика по AWS KMS. Если у вас есть вопросы о функции асимметричных ключей, свяжитесь с нами через AWS re:Post.

 
Если у вас есть отзывы об этом сообщении, отправьте их в разделе Комментарии ниже. Если у вас есть вопросы по этому сообщению, обратитесь в службу поддержки AWS.

Хотите узнать больше новостей о безопасности AWS? Следуйте за нами на Twitter.

Патрик Палмер

Патрик — архитектор решений безопасности в AWS. Ему нравится изучать новые технологии и криптографию в сервисах AWS, а также вести глубокие беседы с клиентами. Он работает в команде специалистов по безопасности, которые стремятся постоянно радовать клиентов. Вне работы он проводит время со своей женой и двумя кошками, иногда играя в видеоигры, когда есть возможность.

ТЕГИ: Асимметричная криптография, AWS KMS, шифрование, автономный режим, RSA, блог по безопасности

Поваренная книга | FortiGate / FortiOS 6.2.0

SecurID — это двухфакторная система производства компании RSA, использующая аутентификацию по одноразовому паролю (OTP). Эта система состоит из следующего:

• Переносные жетоны, которые пользователи носят с собой
• RSA ACE/сервер
• Хост агента (FortiGate)

При использовании SecurID пользователи носят с собой небольшое устройство или «жетон», который генерирует и отображает псевдослучайный пароль. Согласно RSA, каждый токен аутентификатора SecurID имеет уникальный 64-битный симметричный ключ, который в сочетании с мощным алгоритмом генерирует новый код каждые 60 секунд. Токен синхронизируется по времени с SecurID RSA ACE/Server.

RSA ACE/Server — это компонент управления системой SecurID. Он хранит и проверяет информацию о токенах SecurID, разрешенных в вашей сети. В качестве альтернативы сервер может быть устройством RSA SecurID 130.

Хост агента — это сервер в вашей сети. В данном случае это FortiGate, который перехватывает попытки пользователя войти в систему. Хост агента собирает идентификатор пользователя и пароль, введенные с токена SecurID, и отправляет информацию на RSA ACE/Server для проверки. Если он действителен, RSA ACE/Server возвращает ответ, указывающий, что это действующий вход в систему, и FortiOS разрешает пользователю доступ к сетевым ресурсам, указанным в соответствующей политике безопасности.

Настройка SecurID с FortiOS состоит из следующих действий:

1. Настройте серверы RSA и RADIUS для совместной работы. См. документацию сервера RSA.
2. Выполните одно из следующих действий:
   1. Настройте устройство RSA SecurID 130.
   2. Настройте FortiGate в качестве хоста агента на RSA ACE/Server.
3. Настройте сервер RADIUS в FortiOS.
4. Создайте группу пользователей SecurID.
5. Создайте пользователя SecurID.
6. Настройте аутентификацию с помощью SecurID.

Следующие инструкции основаны на RSA ACE/Server 5.1 и устройстве RSA SecurID 130. Предполагается, что вы успешно завершили настройку всех внешних серверов RSA и RADIUS.

В этом примере сервер RSA находится во внутренней сети и имеет IP-адрес 192. 128.100.000. Адрес внутреннего интерфейса FortiOS — 192.168.100.3. Общий секрет RADIUS — fortinet123, а сервер RADIUS имеет IP-адрес 192.168.100.202.

Чтобы настроить устройство RSA SecurID 130:

1. Войдите в консоль SecurID IMS.
2. Перейдите к RADIUS > Клиенты RADIUS , затем выберите Добавить новый .

   Основные сведения о клиенте RADIUS
   Имя клиента	FortiGate
   Связанный агент RSA	FortiGate
   Настройки клиента RADIUS
   IP-адрес	Войдите во внутренний интерфейс FortiOS. В данном примере это 192.168.100.3.
   Марка/модель	Выберите Стандартный радиус .
   Общий секрет	Введите общий секрет RADIUS. В данном примере это фортинет123.
   Бухгалтерия	Не выбирать.
   Статус клиента	Не выбирать.

3. Настройте FortiGate в качестве клиента SecurID:
4. Нажмите Сохранить .

Чтобы настроить FortiGate в качестве хоста агента на RSA ACE/Server:

1. На RSA ACE/Server выберите Пуск > Программы > RSA ACE/Server , затем Администрирование базы данных — режим хоста .
2. В меню Хост агента выберите Добавить хост агента .
3. Настройте следующее:

   Имя	Фортигейт
   Сетевой адрес	Войдите во внутренний интерфейс FortiOS. В данном примере это 192.168.100.3.
   Вторичные узлы	При желании можно ввести другие IP-адреса, которые разрешаются в FortiGate.

Дополнительные сведения см. в документации RSA ACE/Server.

Чтобы настроить сервер RADIUS в FortiOS:

1. Перейдите на страницу Пользователь и устройство > Серверы RADIUS , затем нажмите Создать новый .
2. Настройте следующее:

   Имя	ЮАР
   Метод аутентификации	Выберите По умолчанию .
   Первичный сервер
   IP/имя	192.168.100.102. Вы можете нажать Проверить , чтобы убедиться, что IP-адрес правильный и что FortiOS может связаться с сервером RADIUS.
   Секрет	fortinet123

3. Нажмите OK .

Чтобы создать группу пользователей SecurID:

1. Перейдите к Пользователь и устройство > Пользовательские группы . Нажмите Создать новый .
2. Настройте следующее:

   Имя	RSA_группа
   Тип	Брандмауэр

3. : В Remote Groups нажмите Add , затем выберите сервер RSA.
4. Щелкните OK .

Чтобы создать пользователя SecurID:

1. Перейдите на страницу Пользователь и устройство > Определение пользователя . Нажмите Создать новый .
2. Настройте следующее:

   Тип пользователя	Удаленный пользователь RADIUS
   Тип	женщина
   RADIUS-сервер	ЮАР
   Контактная информация	(Необязательно) Введите данные электронной почты или SMS.
   Группа пользователей	RSA_группа

3. Нажмите Создать .

Вы можете протестировать конфигурацию, введя команду диагностического теста authserver radius RSA auto wloman 111111111 . Серия из 1 – это одноразовый пароль, который генерирует ваш токен RSA SecurID и который вы вводите для доступа.

Настройка аутентификации с помощью SecurID

Вы можете использовать группу пользователей SecurID в нескольких функциях FortiOS, которые выполняют аутентификацию по группе пользователей:

• Политика безопасности
• IPsec VPN XAuth
• PPTP VPN
• SSL VPN

Если не указано иное, в следующих примерах используются значения по умолчанию.

Политика безопасности

В этом примере создается политика безопасности, разрешающая трафик HTTP, FTP и POP3 от внутреннего интерфейса к WAN1. Если эти интерфейсы недоступны в FortiOS, замените их другими аналогичными интерфейсами.

Чтобы настроить политику безопасности с аутентификацией SecurID:

1. Перейдите к Политика и объекты > Политика IPv4 .
2. Нажмите Создать новый .
3. Настройте следующее:

   Входящий интерфейс	внутренний
   Адрес источника	все
   Исходный пользователь(и)	RSA_группа
   Исходящий интерфейс	wan1
   Адрес назначения	все
   Расписание	всегда
   Служба	HTTP, FTP, POP3
   Действие	ПРИНЯТЬ
   Северная Америка	На
   Общий формирователь	Если вы хотите ограничить трафик или гарантировать минимальную пропускную способность для трафика, использующего политику безопасности SecurID, включите и используйте шейпер по умолчанию,гарантия-100кбит/с.
   Журнал разрешенного трафика	Включите, если вы хотите создавать отчеты об использовании трафика, аутентифицированного этой политикой.

4. Щелкните OK .

IPsec VPN XAuth

В VPN > Мастер IPsec выберите группу пользователей SecurID в Authentication стр. Члены группы пользователей SecurID должны ввести свой код SecurID для аутентификации.

PPTP VPN

При настройке PPTP в интерфейсе командной строки задайте usrgrp для группы пользователей SecurID.

SSL VPN

Вы должны сопоставить группу пользователей SecurID с порталом, который будет обслуживать пользователей SecurID, и включить группу пользователей SecurID в поле исходных пользователей политики безопасности.

Чтобы сопоставить группу SecurID с порталом SSL VPN:

1. Перейти к VPN > Настройки SSL-VPN .
2. В разделе Аутентификация/сопоставление портала щелкните Создать новый .
3. Настройте следующее:

   Пользователи/группы	RSA_группа
   Портал	Выберите нужный портал.

4. Щелкните OK .

Домашняя страница — Easy RSA

В этом документе объясняется, как работает Easy-RSA 3 и различные его функции.

Если вы ищете краткое руководство с минимумом предыстории или подробностей, Howto или Readme для конкретной реализации могут быть доступны в этом (документ /) каталог.

Обзор Easy-RSA

Easy-RSA — это утилита для управления X. 509 PKI или инфраструктурой открытых ключей. А PKI основана на понятии доверия определенному органу для аутентификации удаленный партнер; дополнительные сведения о работе PKI см. в документе Intro-To-PKI . документ.

Код написан в независимой от платформы оболочке POSIX, что позволяет использовать его на широком Ассортимент хост-систем. Официальная версия Windows также поставляется в комплекте с программы, необходимые для использования Easy-RSA. Шелл-код пытается ограничить количество внешних программ, от которых это зависит. Задачи, связанные с криптографией, используют openssl в качестве функциональный бэкенд.

Основные функции

Вот неполный список наиболее примечательных функций Easy-RSA:

• Easy-RSA может управлять несколькими PKI, каждая из которых имеет свою собственную независимую конфигурация, каталог хранения и обработка расширений X.509.
• Поддерживаются опции форматирования множественного имени субъекта (поле X. 509 DN). За VPN, это означает, что можно использовать более чистую настройку commonName.
• На всех поддерживаемых платформах используется единый бэкенд, что гарантирует отсутствие Платформа «исключена» из богатых функций. Unix-подобные (BSD, Linux и т. д.) и Windows все поддерживаются.
• Easy-RSA поддерживает X.509, включая CRL, CDP, атрибуты keyUsage/eKu и дополнительные возможности. Включенная поддержка может быть изменена или расширена в качестве расширенная функция.
• Интерактивный и автоматизированный (пакетный) режимы работы
• Гибкая конфигурация: функции можно включить через командную строку параметры, переменные среды, файл конфигурации или их комбинацию.
• Встроенные настройки по умолчанию позволяют использовать Easy-RSA без предварительного редактирования конфигурации файл.

Получение и использование Easy-RSA

Основная программа Easy-RSA представляет собой сценарий, поддерживаемый несколькими конфигурационными файлами. В качестве таким образом, формальная «установка» не требуется. Подготовка к использованию Easy-RSA так же просто, как загрузить сжатый пакет (.tar.gz для Linux/Unix или .zip для Windows) и распакуйте его в любое место по вашему выбору. Здесь нет требуется компиляция или установка в зависимости от ОС.

Вы должны установить и запустить Easy-RSA с учетной записью без полномочий root (не администратора). так как root-доступ не требуется.

Запуск Easy-RSA

Запуск Easy-RSA осуществляется через выбранную вами оболочку. Под Windows вы будет использовать программу EasyRSA Start.bat для обеспечения среды оболочки POSIX. подходит для использования Easy-RSA.

Основной формат для запуска команд:

 ./easyrsa команда [ cmd-opts ]
 

, где command — это имя запускаемой команды, а cmd-opts — любые параметры для предоставления команде. Некоторые команды имеют обязательные или необязательные cmd-параметры. Обратите внимание на ведущую ./ компонент команды: требуется в Unix-подобные среды и могут быть новой концепцией для некоторых пользователей Windows.

Справка по общему использованию и командам может быть показана с помощью:

 ./easyrsa help [ команда ]
 

При запуске без какой-либо команды, общее использование и список доступных команд показаны; когда указана команда, подробный вывод справки для этой команды Показано.

Настройка Easy-RSA

Easy-RSA 3 больше не требует файла конфигурации перед началом работы, в отличие от более ранние версии. Тем не менее, vars.example файл содержит много комментариев параметры, которые можно использовать для управления нестандартным поведением по мере необходимости. Чтение этот файл даст представление о доступной базовой конфигурации. Обратите внимание, что файл vars должен называться просто vars (без расширения), чтобы активно его использовать.

Кроме того, некоторые параметры можно определить во время выполнения с параметрами на командная строка. Полный список можно просмотреть с помощью:

 ./easyrsa help options
 

Любая из этих опций может стоять перед командой, как показано ниже:

 ./easyrsa [параметры] команда [ cmd-opts ]
 

Для экспертов дополнительная гибкость конфигурации доступна за счет env-vars и пользовательские расширения X.509. Обратитесь к EasyRSA-Advanced подробная документация

Начало работы: основы

Некоторые термины, используемые здесь, будут знакомы тем, кто знаком с тем, как работает PKI. Вместо описания основ PKI обратитесь к документу Intro-To-PKI , если вам нужно более общее описание того, как работает PKI.

Создание PKI Easy-RSA

Чтобы сделать что-то полезное, Easy-RSA необходимо сначала инициализировать каталог для PKI. С помощью одной установки можно управлять несколькими PKI. Easy-RSA, но каталог по умолчанию называется просто "pki", если не указано иное. указано.

Чтобы создать или очистить (повторно инициализировать) новую PKI, используйте команду:

 . /easyrsa init-pki
 

, который создаст новую пустую структуру PKI, готовую к использованию. Однажды созданный, эту PKI можно использовать для создания нового ЦС или генерации пар ключей.

Структура каталогов PKI

PKI Easy-RSA содержит следующую структуру каталогов:

• private/ — каталог с закрытыми ключами, сгенерированными на этом хосте
• reqs/ — каталог с локально сгенерированными запросами сертификатов (для ЦС, импортированного здесь хранятся запросы)

В чистой PKI до тех пор не будет файлов, только пустые каталоги. Команды вызванный позже, создаст необходимые файлы в зависимости от операции.

При построении ЦС ряд новых файлов создается комбинацией Easy-RSA и (косвенно) openssl. Важными файлами CA являются:

• ca.crt — это сертификат ЦС
• index.txt — это «главная база данных» всех выпущенных сертификатов
• серийный номер - Сохраняет следующий серийный номер (приращение серийного номера)
• private/ca. key — это закрытый ключ ЦС (критический с точки зрения безопасности)
• certs_by_serial/ - каталог со всеми сертификатами, подписанными CA, по серийному номеру
• выпущено/ - каталог с выданными сертификатами по commonName

После создания PKI

После создания PKI следующим полезным шагом будет либо создание CA или создать пары ключей для системы, которая в них нуждается. Продолжить с соответствующий раздел ниже.

Использование Easy-RSA в качестве центра сертификации

Создание центра сертификации

Чтобы подписывать запросы на создание сертификатов, вам необходим центр сертификации. Чтобы создать новый ЦС в созданной вами PKI, запустите:

 ./easyrsa build-ca
 

Обязательно используйте надежный пароль для защиты закрытого ключа ЦС. Обратите внимание, что вы должны указать эту парольную фразу в будущем при выполнении подписи операций с вашим ЦС, поэтому обязательно запомните его.

В процессе создания вы также выберете имя для ЦС, называемое Общее имя (CN.) Это имя предназначено исключительно для отображения и может быть установлено как тебе нравится.

Импорт запросов в ЦС

После создания ЦС инфраструктура открытого ключа предназначена для импорта запросов из внешние системы, которые запрашивают подписанный сертификат у этого ЦС. В Чтобы подписать запрос, его необходимо сначала импортировать, чтобы Easy-RSA знал о Это. Этот файл запроса должен быть стандартным CSR в формате PKCS#10.

Независимо от имени импортируемого файла, Easy-RSA использует «короткое имя», определенное во время импорта ссылаться на этот запрос. Импорт работает так:

 ./easyrsa import-req /path/to/request.req nameOfRequest
 

Имя запроса обычно должно относиться к системе или лицу, делающему запрос.

Подписание запроса

После того как Easy-RSA импортирует запрос, его можно просмотреть и подписать. Каждый сертификату нужен «тип», который контролирует, какие расширения получает сертификат. Easy-RSA поставляется с 3 возможными типами: клиент , сервер и ca , описание ниже:

• клиент — клиент TLS, подходящий для пользователя VPN или веб-браузера (веб-клиент)
Сервер
• — сервер TLS, подходящий для VPN или веб-сервера
.
• ca — подчиненный ЦС, используемый при объединении нескольких ЦС в цепочку

Дополнительные типы сертификатов могут быть определены локальными сайтами по мере необходимости; см. расширенная документация для деталей.

Отзыв и публикация CRL

Если сертификат выдачи необходимо отозвать, это можно сделать следующим образом:

 ./easyrsa отозвать nameOfRequest
 

Чтобы создать список отзыва сертификатов, пригодный для публикации в системах, которые его используют, выполните:

 ./easyrsa gen-crl
 

Обратите внимание, что это должно быть опубликовано или отправлено в системы, которые полагаются на актуальный CRL, так как в остальном сертификат все еще действителен.