我一直在摆弄基于 VMWare 的 LAN(无域)中某些计算机的 Windows 防火墙配置。为了帮助我进行测试和调试,我创建了一个小型的、自托管的控制台应用程序,它可以响应 HTTP 请求,如果你愿意的话,它是一个“应答机”,这样我就可以轻松地检查特定端口上计算机之间的连接。
我立即使用“预共享密钥”进行首次身份验证(连接安全规则/身份验证/高级/自定义)使其一切正常,但是当尝试切换到“来自该证书颁发机构的计算机证书”时,一切都停止工作。
我尝试了以下方法:
我的感觉是我在某种程度上从根本上倒退了,所以我有两个问题:
我在这里仔细阅读了 Microsoft TechNet 文章:http ://technet.microsoft.com/en-us/library/deploy_ipsec (v=ws.10).aspx (谷歌搜索“windows 防火墙证书身份验证”),它说的有点低它不包括:设置证书颁发机构 (CA) 以创建基于证书的身份验证的证书的指南。有关此信息,请参阅 Active Directory 证书服务 (ADCS) ( http://go.microsoft.com/fwlink/?linkid=110820 )。
这将我们引向有关该主题的 AD TechNet 文章:http ://technet.microsoft.com/en-US/library/cc770357.aspx
看起来您将需要一个域来实现 ADCS 以使用证书进行身份验证。(我发现的 TechNet 资源都是针对 Windows Server 2008 的。)Active Directory 充满了乐趣,(有些讽刺有些不是!),看起来你必须走这条路来配置高级安全选项windows 防火墙(至少对于 CA)。
我了解您正在测试和探索一项功能,但我怀疑您正在查看的内容可能不是您想要的解决方案。 你想解决什么问题?
MSFT 防火墙允许安全网络,并且(从 MSCS 咨询的角度来看)多年来从以下概念演变而来:
大多数(如果不是全部)这些功能都需要 PKI。ADCS 是一个有效的选择,可以作为单服务器 CA很好地工作,也可以根据需要横向扩展为 N 层解决方案。
使用证书的 HTTP 身份验证与所有这些解决方案正交,并且如果人们使用它,则会出现一组浏览器方面的问题(另请参阅)。如果您正在寻找还可以防止某些 cookie 攻击的现代客户端身份验证,您应该查看Fido。
如果您正在编写使用证书进行身份验证的应用程序,您可能对ADCS Web 注册 WSDL感兴趣。请注意,网络设备注册服务并非面向 Internet,并且在某些情况下存在使用指南。