SSL-сертификаты для IPSec: реальный пример использования

Не так давно мы столкнулись с одной проблемой: клиенту требовалось создать защищенный VPN-туннель между Palo Alto Networks и VPN-клиентом Global Protect. Клиент до этого использовал самоподписанный сертификат, который не позволял защитить канал и приводил к появлению уведомлений, указывающих на характер сертификата (самоподписанные сертификаты не имеют доверия).

Самоподписанные сертификаты для VPN на первый взгляд кажутся финансово выгодными, однако, как известно, скупой платит дважды. Злоумышленники могут легко вклиниться в процесс передачи данных в VPN, выдавая свой сертификат – таким образом, они получат доступ к чтению трафика. Все ценные сведения будут оседать в руках злоумышленников, что сводит к нулю ценность использования VPN-каналов.

Если сертификат выдан публичным центром сертификации, то вклиниться в VPN-канал будет невозможно.

Клиенту потребовалось защитить VPN-туннель с помощью надежного SSL-сертификата от доверенного центра сертификации. При выпуске сертификата мы столкнулись с тем, что он не работал в SSL-туннеле между Palo Alto Networks и VPN-клиентом Global Protect.

Включение OID 1.3.6.1.5.5.7.3.5 в сертификат помог справиться с данной проблемой. Клиент установил сертификат и смог защитить с его помощью созданный SSL-туннель.

Параметр OID 1.3.6.1.5.5.7.3.5 применяется для конечной системы IPSec (IPSec End System) и задается отдельно по специальному запросу.

LeaderSSL поможет выпустить SSL-сертификат для IPSec

Использование сертификатов для защиты VPN-туннелей позволяет предотвратить неавторизованный доступ к VPN-сетям, что является одним из самых удобных и гибких решений по аутентификации всех сторон.

Если вам требуется сертификат с OID 1.3.6.1.5.5.7.3.5, предназначенный для защиты VPN-туннелей по IPSec, обращайтесь к нашим менеджерам по представленным на сайте контактам. Мы поможем вам получить такой SSL-сертификат, который идеально подойдет для защиты VPN.