Как настроить Mikrotik + AD CS для работы IKEv2?

Question

[yourfatherinlaw]

Есть задача настроить IKEv2 сервер на Mikrotik с авторизацией по сертификату от AD CS для доменных ПК. За неимением знаний не могу именно связку с AD CS настроить, какой и как сертификат для роутера запросить, какие сертификаты на клиентах использовать (сертификат компьютера домена или использовать авторизацию по логину паролю radius, а сертификат будет использоваться корневой). Может быть есть годные гайды.

Answer 1

[Юрий MikroTik]

Вам нужна IKEv2 AD авторизация
На покупном или самоподписанном сертификате работает, далее авторизация пользователей через свои доменные логины и пароли

Comments

[yourfatherinlaw]

Читал статью. Отличная статья. Но там сертификат от Let's encrypt, а не AD CS.

[Юрий MikroTik]

yourfatherinlaw, берем свойства того же LE сертификата и выпускаем аналогичный.
На ПК ничего не надо ставить, т.к. в домене все доверяют CA
Это вопрос больше к MS

[yourfatherinlaw]

Юрий MikroTik, без участия CA? Выпускаем certificate/enable-ssl-certificate dns-name=myvpn.domain.ru (A-запись, прописанная на хостинге для подключения удалёнщиков) у меня вызывает ошибку проверки mx записи, потому что на внешнем ip по 443 также расположен Битрикс... Или я всё-таки должен запросить для микротика сертификат у СА? Если да, то этот момент мне и непонятен

[Valentin Barbolin]

yourfatherinlaw, Микротику нужен свой сертификат, не важно кем он будет выпущен, гдавное что бы ПК ему доверял, правильнее конечно что бы этот сертификат был выпущен твом CA. Так же на микротике должен быть сертификат самого CA или SBCA (если такой есть) которым он будет проверять сертификаты клиентов. Какой сертификат будет использовать клиент это уже ты решаеш, можеш использовать сертификат клиента, а можеш сертификат ПК. Правильнее конечно сертификат клиента, он устанавливается в профиль пользователя и доступен только этому клиенту. Если использовать сертификат ПК то все пользователи смогут его использовать и соответственно подключаться к VPN.

[Юрий MikroTik]

yourfatherinlaw, если нужен халявный сертификат, то убрать публикацию и выпустить.
Либо делать wildcard LE сертификат и перетаскивать его куда нужно.
А еще лучше купить коммерческий, 2тыс в год, и не заниматься 4 раза в год перевыпусками.