Remote Access — VPN-сервер с двухфакторной аутентификацией по смарткарте

@m1ct1k · Регистрация: 13.02.2013

Студворк — интернет-сервис помощи студентам

Добрый день.
Настраиваю VPN сервер (RRAS) с двухфакторную аутентификацией по смарт карте (eToken) и авторизацией через NPS.
Имеется: Windows Server 2012 R2 с NPS, Remote Access + Windows Server 2012 R2 с DC, CA.
После проделанных настроек, при подключение клиента по vpn, на клиенте: "Ошибка 853: Подключение удаленного доступа завершено, но не удалось выполнить проверку подлинности, поскольку сертификат, используемый для проверки подлинности клиента на сервере, не действителен".
На сервере в логах: Предупреждение 1: CoID={0A173236-81E0-45C5-A4C2-F6E355C3B50F}: Пользователь *** подключен с ***, но не прошел проверку подлинности по следующей причине: В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа.
Предупреждение 2: CoID={0A173236-81E0-45C5-A4C2-F6E355C3B50F}: Пользователь *** подключился, но не прошел проверку подлинности на порте "VPN3-0". Линия отключена.
Сертификаты выпущены согласно статье https://msdn.microsoft.com/ru-... 2147217396
Сертификат домена (установлен у клиента и сервера в доверенные корневые компьютера): All
Сертификат клиента (на смарткарте): «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2, Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2)
Сертификат сервера (установлен в личные компьютера на сервере): «Проверка подлинности сервера» — 1.3.6.1.5.5.7.3.1, «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2
Шаблоны для сертификата сервера и клиента, созданы на основе копии шаблона IPsec.
Тип EAP на сервере NPS: Microsoft: Smart Card or other certificate.
Тип EAP на клиенте Win 8.1, Win 7, Win XP: Microsoft: Smart Card or other certificate.
В AD создана группа безопасности пользователей, которые могут подключаться через NPS.
Время на клиенте и сервере синхронизировано.
Аутентификация не за NAT.
Версия драйверов SafeNet Authentication Client 10.0 (10.0.43.0) для MS Win 8.1 и eToken PKI Client 5.1 SP1 для MS Win XP, 7
Можете помочь разобраться в данной ошибки, гугл толкового не чего не предлагает.

@CHESTER-ART · 18.06.2016, 00:07

не сильно секу в данной схеме реализации, но могу прикинуть...
- проверьте доступность списков отзыва сертов (без них оно работать не должно)
- длину выпускаемого ключа и соответствие требованию политики (минимальная длина ключа)

@m1ct1k · 18.06.2016, 07:00 **[ТС]**

Список отзыва загружен. Длина ключа клиента 1024, в политике минимум МРРЕ шифрования 40 бит.

@CHESTER-ART · 19.06.2016, 12:28

Сообщение от m1ct1k

Список отзыва загружен.

а доступен? цепочка сертификации прослеживается? всем есть доверие?

и еще, я не зря акцентировал внимание на длину ключа, вот требования

Кликните здесь для просмотра всего текста

Использовать AES для симметричного шифрования/дешифрования,
Симметричные ключи должны быть не менее 128 бит,
Использовать RSA для ассиметричного шифрования/дешифрования или цифровой подписи.
RSA ключи должны быть не менее 2048 бит,
Использовать SHA-256 или лучше при вычислении хешей или кода проверки подлинности (MAC),
Обеспечивать отзыв сертификатов,
Ограничивать время жизни симметричных и ассиметричных ключей, не использующих сертификаты,
Поддерживать криптографически стойкие версии проткола SSL/TLS,
Обоснованно выбирать время действия сертификатов,
При установлении TLS-соединений проверять атрибут Common Name/Subject Alternative Name на соответствие имени хоста, с которым
планируется установить соединение.

Вот ссыль

Кликните здесь для просмотра всего текста

http://i1.blogs.technet.com/b/securityrus/archive/2012/09/17/rsa.aspx

Добавлено через 3 минуты
Я в своё время чуть голову не сломал, но потом раскопал, что ключи у меня не работают, из-за разногласий политики, требуется 2048, а шаблон выпускает 1024. Вот тут то и было мое открытие года. эх.... давненько это было .... но проверьте, может это ваш случай, попробуйте выпустить 2048 ключ.
Да и, в моем случае ошибка вообще не указывала на ключ, ругалось на хранилище с нелепыми ошибками о недоступности каких-то компонентов.

@m1ct1k · 20.06.2016, 06:46 **[ТС]**

Все перепроверил, сертификат выпустил 2048, та же самая ошибка.

@CHESTER-ART · 20.06.2016, 10:54

еще предположу...
1. в NTAuthCA - серт добавлен? Опубликован?
2. Авторизация с токена вообще работает при входе в систему? Если да, то тогда копать настройки VPN и IPSec
Больше ни чего не приходит в голову на данный момент.

@m1ct1k · 20.06.2016, 12:20 **[ТС]**

1.Да сертификат СА опубликован в NTAuthCA (командой certutil -enterprise -addstore NTAuth C:\\CA.cer) на VPN сервере.
2. Да при входе запрашивает токен, после чего ввожу пин-код, а затем выдает ошибку "Ошибка 853: Подключение удаленного доступа завершено, но не удалось выполнить проверку подлинности, поскольку сертификат, используемый для проверки подлинности клиента на сервере, не действителен".

@CHESTER-ART · 20.06.2016, 12:28

m1ct1k, как по мне, так вы его внесли, но не опубликовали. certutil -dspublish -f C:\rootCA.cer NTAuthCA.

@m1ct1k · 20.06.2016, 12:34 **[ТС]**

Сертификат уже содержится в хранилище DS.

Новые блоги и статьи Все статьи Все блоги /
Семь CDC на одном интерфейсе: 5 U[S]ARTов, 1 CAN и 1 SSI Eddy_Em 18.02.2026 Постепенно допиливаю свою "многоинтерфейсную плату". Выглядит вот так: https:/ / www. cyberforum. ru/ blog_attachment. php?attachmentid=11617&stc=1&d=1771445347 Основана на STM32F303RBT6. На борту пять. . .	Символьное дифференцирование igorrr37 13.02.2026 / * Программа принимает математическое выражение в виде строки и выдаёт его производную в виде строки и вычисляет значение производной при заданном х Логарифм записывается как: (x-2)log(x^2+2) -. . .	Камера Toupcam IUA500KMA Eddy_Em 12.02.2026 Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .	И ясному Солнцу zbw 12.02.2026 И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила» zbw 12.02.2026 «Знание-Сила» «Время-Деньги» «Деньги -Пуля»	SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров 8Observer8 12.02.2026 Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image) 8Observer8 11.02.2026 Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .	SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image 8Observer8 10.02.2026 Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .

@m1ct1k 0 / 0 / 0 Регистрация: 13.02.2013 Сообщений: 8

	Server 2012 Remote Access — VPN-сервер с двухфакторной аутентификацией по смарткарте 17.06.2016, 17:11. Показов 6170. Ответов 8 Метки vpn (Все метки) Добрый день. Настраиваю VPN сервер (RRAS) с двухфакторную аутентификацией по смарт карте (eToken) и авторизацией через NPS. Имеется: Windows Server 2012 R2 с NPS, Remote Access + Windows Server 2012 R2 с DC, CA. После проделанных настроек, при подключение клиента по vpn, на клиенте: "Ошибка 853: Подключение удаленного доступа завершено, но не удалось выполнить проверку подлинности, поскольку сертификат, используемый для проверки подлинности клиента на сервере, не действителен". На сервере в логах: Предупреждение 1: CoID={0A173236-81E0-45C5-A4C2-F6E355C3B50F}: Пользователь * подключен с , но не прошел проверку подлинности по следующей причине: В удаленном подключении отказано, так как не удалось распознать указанную комбинацию имени пользователя и пароля или выбранный протокол проверки подлинности не разрешен на сервере удаленного доступа. Предупреждение 2: CoID={0A173236-81E0-45C5-A4C2-F6E355C3B50F}: Пользователь ** подключился, но не прошел проверку подлинности на порте "VPN3-0". Линия отключена. Сертификаты выпущены согласно статье https://msdn.microsoft.com/ru-... 2147217396 Сертификат домена (установлен у клиента и сервера в доверенные корневые компьютера): All Сертификат клиента (на смарткарте): «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2, Вход со смарт-картой (1.3.6.1.4.1.311.20.2.2) Сертификат сервера (установлен в личные компьютера на сервере): «Проверка подлинности сервера» — 1.3.6.1.5.5.7.3.1, «Проверка подлинности клиента» — 1.3.6.1.5.5.7.3.2 Шаблоны для сертификата сервера и клиента, созданы на основе копии шаблона IPsec. Тип EAP на сервере NPS: Microsoft: Smart Card or other certificate. Тип EAP на клиенте Win 8.1, Win 7, Win XP: Microsoft: Smart Card or other certificate. В AD создана группа безопасности пользователей, которые могут подключаться через NPS. Время на клиенте и сервере синхронизировано. Аутентификация не за NAT. Версия драйверов SafeNet Authentication Client 10.0 (10.0.43.0) для MS Win 8.1 и eToken PKI Client 5.1 SP1 для MS Win XP, 7 Можете помочь разобраться в данной ошибки, гугл толкового не чего не предлагает. 0

@CHESTER-ART 174 / 166 / 28 Регистрация: 20.10.2014 Сообщений: 1,037
	18.06.2016, 00:07
	не сильно секу в данной схеме реализации, но могу прикинуть... - проверьте доступность списков отзыва сертов (без них оно работать не должно) - длину выпускаемого ключа и соответствие требованию политики (минимальная длина ключа) 0

@m1ct1k 0 / 0 / 0 Регистрация: 13.02.2013 Сообщений: 8
	18.06.2016, 07:00 [ТС]
	Список отзыва загружен. Длина ключа клиента 1024, в политике минимум МРРЕ шифрования 40 бит. 0

@m1ct1k 0 / 0 / 0 Регистрация: 13.02.2013 Сообщений: 8
	20.06.2016, 06:46 [ТС]
	Все перепроверил, сертификат выпустил 2048, та же самая ошибка. 0

@CHESTER-ART 174 / 166 / 28 Регистрация: 20.10.2014 Сообщений: 1,037
	20.06.2016, 10:54
	еще предположу... 1. в NTAuthCA - серт добавлен? Опубликован? 2. Авторизация с токена вообще работает при входе в систему? Если да, то тогда копать настройки VPN и IPSec Больше ни чего не приходит в голову на данный момент. 0

@m1ct1k 0 / 0 / 0 Регистрация: 13.02.2013 Сообщений: 8
	20.06.2016, 12:20 [ТС]
	1.Да сертификат СА опубликован в NTAuthCA (командой certutil -enterprise -addstore NTAuth C:\\CA.cer) на VPN сервере. 2. Да при входе запрашивает токен, после чего ввожу пин-код, а затем выдает ошибку "Ошибка 853: Подключение удаленного доступа завершено, но не удалось выполнить проверку подлинности, поскольку сертификат, используемый для проверки подлинности клиента на сервере, не действителен". 0

@CHESTER-ART 174 / 166 / 28 Регистрация: 20.10.2014 Сообщений: 1,037
	20.06.2016, 12:28
	m1ct1k, как по мне, так вы его внесли, но не опубликовали. certutil -dspublish -f C:\rootCA.cer NTAuthCA. 0

@m1ct1k 0 / 0 / 0 Регистрация: 13.02.2013 Сообщений: 8
	20.06.2016, 12:34 [ТС]
	Сертификат уже содержится в хранилище DS. 0