设置基于证书的 VPN 接入点

设置基于证书的 VPN 接入点

我们目前使用的是 Microsoft RAS 服务器,使用 PPTP 让人们通过 VPN 进入办公网络。它不是特别安全,因为人们的用户名是可以预测的,而且许多用户没有选择安全的密码。任何试图在密码中强制实施适度安全性的尝试都会面临内部反抗。

我正在考虑设置 VPN 以使用 IPSEC,并使用证书进行身份验证。我需要有关合适的 IPSEC 服务器配置、管理证书以及管理证书部署的建议 - 尤其是来自做过这些事情的人的建议。我有管理 Windows、Linux 以及 OpenBSD 操作系统的经验(但经验要少得多)。

最后,我看到有人评论说 XP 专业版机器在 IP 地址不固定时无法建立临时 IPSEC 连接?这真的是一个问题吗?

在此先感谢您的帮助,

答案1

您无需说明您所在组织的规模 - 但从我的经验来看,管理拥有众多用户的远程访问解决方案的证书并不是理想的做法。证书对于普通用户来说很难理解,而且我还没有看到不需要非常好的书面指南或电话支持人员的证书颁发和重新颁发流程。

无论何时,我都更喜欢基于硬件令牌的远程访问解决方案,而不是基于证书的解决方案。

我不管理我工作的地方的远程访问网关,但我知道我们使用带有 RSA SecureID 身份验证的 Cisco VPN。我还看到了一家名为 Giritech 的公司提供的更轻量级的解决方案。但肯定有数百种基于硬件遥控器的类似解决方案。

伊尔多克

相关内容