Zywall usg310 ikev2 проблема с сертификатом
adminforester
Публикаций: 16 
Freshman Member
Freshman Member
Раздел: Техническая поддержка
Добрый день.
Настраиваем ikev2 с использованием локальной базы данных встроенной в zywall и Radius (Windows). Для тестов на резервный usg310 был приобретен сертификат vpn2.domain.com, при настройки аутентификации через radius, всё работает нормально, но при локальной аутентификации, при подключении vpn клиент оповещает о том, что нет доверия к сертификату, отпечаток сертификата отображаемый при этом отличается от отпечатка сертификата vpn2.domain.com, просмотрев отпечатки всех сертификатов в zywall был найдет сертификат с тем самым отпечатком, вопрос, почему при переключении способа аутентификации на локальный, участвует в соединений сертификат не выбранный в ikev2?
Настраиваем ikev2 с использованием локальной базы данных встроенной в zywall и Radius (Windows). Для тестов на резервный usg310 был приобретен сертификат vpn2.domain.com, при настройки аутентификации через radius, всё работает нормально, но при локальной аутентификации, при подключении vpn клиент оповещает о том, что нет доверия к сертификату, отпечаток сертификата отображаемый при этом отличается от отпечатка сертификата vpn2.domain.com, просмотрев отпечатки всех сертификатов в zywall был найдет сертификат с тем самым отпечатком, вопрос, почему при переключении способа аутентификации на локальный, участвует в соединений сертификат не выбранный в ikev2?
0
All Replies
-
Добрый день.
Прочитайте статью нашей Базы Знаний:
Настройка IKEv2 VPN типа "клиент-сайт" с аутентификацией по сертификату
Вы выполняли настройку аналогичным образом или есть отличия?
Уточните версию микропрограммы установленной на шлюзе.0 -
Андрей, добрый день.
Да, всё настроено так, я прикладываю несколько скриншотов настройки, обращаю Ваше внимание на то, что при смене аутентификации на локальную, меняется сертификат, этот сертификат не выбран в настройках ike, тем не менее zywall его использует. После привязки реального сертификата для ike я не перезагружал шлюз, полагаю это должно помочь, сегодня ночью он будет перезагружен.
0 -
Есть также еще один вопрос по сертификатам выпущенным корпоративным Windows ЦС, Zywall отказывается загружать сертификаты, скриншот приложен. Сертификат изначально в формате cer, после я его конвертировать и в pem и в plcs7 и в base64, вообщем в те форматы которые указаны на скриншоте, результат всегда такой.
0 -
Нашел от куда растут ноги у сертификата.
Создать другой Auth Method с входом только local и выбрать его в методе аутентификации ike.
Вопрос в предыдущем посте актуален.
Также вопрос по блокировке ip или учетной записи при переборе.
0 -
Добрый день
Можете прислать этот сертификат для проверки? Лучше создайте тикет в техподдержке: https://support.zyxel.eu/hc/ru/requests/new чтобы не выкладывать на форуме.
Блокировка включается здесь:
0
Zyxel Employee
