Подробнее о сертификатах...
 

Я, в принципе, уже понял, как буду развёртывать у себя VPN в локальной сети. Появился вопрос. Я подумываю над тем, что бы кроме авторизации по паролю использовать проверку по сертификату.
Попутно появилось несколько вопросов:
1. Я так понимаю, если, всё-таки, проверять на наличие сертификата, то при их отсутствии клиент не сможет подключиться? Т.е. нужно сгенерировать сертификат, и установить его на машину клиента. Только тогда он сможет подключится авторизоваться, верно?
2. Если вдруг, нужно будет мигрировать, то придётся заново раздавать клиентам сертификаты и устанавливать их на всех машинах клиентов?

О каком протоколе идет речь?

Вообще об RDP. Но и вообще планирую, чтоб сквозной "проходимости" в локальную сеть через сервер не было, а всё минуя авторизацию и сертификаты, которые на сервере будут. Есть 2 варианта:

1. OpenVPN
2. SoftEther Multi-Protocol VPN Server

Если просто установить и подключится посредством этого софта я смог, то с сертификатами не втыкаю логически. Именно, касательно, если вдруг мигрировать придётся, как тогда?

Неужели никто не пользуется сертификатами?

А причем тут "не пользуется"?

Сертификаты софт (либо железяка) может обрабатывать:
1) автономно.
2) опосредованно - вызывая сервер авторизации.

опять же тут варианты могут быть: RADIUS, TACACS и т.п.

Чтите мануалы к вашему софту как оно работает с сертификатами.
==========
Да и книжечки по самим CA неплохо почитать, чтобы понимать что именно содержится внутри сертификата как сущности.

Вы же сами себе отвечаете.
Куда мигрировать? Начните ковырять предметно, попробуйте на тестовом стенде. Например, решите, как вы будете генерировать сертификаты, раздавать и т.д.

Например?
Там всё на английском. Заколебусь читать... :(

А чтоб если у пользователя отсутствовал сертификат, то он не мог иметь доступ вообще к серверу возможно надеюсь?
Я имею ввиду то, что если имеется система, на которую устанавливаю ПО. Генерирую сертификаты, раздаю их. Если переустановлю систему, или установлю данное ПО на другой сервер, то, есс-но сертификаты сгенерируются уже другие... Следовательно, придётся их переустанавливать. Я этот момент не понимаю..А как тогда работают в крупных сетях?

В айти без английского делать нечего, в общем-то :)

https://kvazar.files.wordpress.com/2...nencrypted.pdf

Название: Windows Server 2008 PKI and Certificate Security
Автор: Komar B.
Издательство: Microsoft Press
Год: 2008
Страниц: 771
Формат: PDF
Размер: 17,3 МБ
ISBN: 0-7356-2516-6, 9780735625167
Качество: Хорошее (копируется текст)
Язык: Английский

Get in-depth guidance for designing and implementing certificate-based security solutions straight from PKI expert Brian Komar.
No need to buy or outsource costly PKI services when you can use the robust PKI and certificate-based security services already
built into Windows Server 2008! This in-depth reference teaches you how to design and implement even the most demanding
certificate-based security solutions for wireless networking, smart card authentication, VPNs, secure email, Web SSL, EFS, and
code-signing applications using Windows Server PKI and certificate services. A principal PKI consultant to Microsoft, Brian
shows you how to incorporate best practices, avoid common design and implementation mistakes, help minimize risk, and
optimize security administration.

Подробно и обстоятельно приводятся все этапы планирования, внедрения и обслуживания PKI Предприятия. Также
рассматриваются вопросы выдачи сертификатов сетевым устройствам, VPN и т.д. Рекомендуется всем, кто хочет
разобраться с PKI и научиться с легкостью использовать её в работе.

Неправильно.
Клиент генерирует пару ключей и направляет в Удостоверяющий центр запрос на сертификат (открытый ключ + идентификационные данные)
Сервер УЦ генерирует сертификат (открытый ключ + идентификационные данные + ЭП сервера УЦ)

Клиентская программа подключается к серверу информационной системы.
Сервер ИС направляет клиенту запрос на авторизацию по сертификату
Клиент направляет на сервер ИС свой сертификат и код авторизации, подписанный своим закрытым ключом.
Сервер ИС проверяет код авторизации открытым ключом из сертификата клиента.
Сервер ИС ищет сертификат клиента в списке учётных записей зарегистрированных пользователей.
Также сервер ИС выполняет проверку актуальности сертификата клиента по списку отзывов сертификатов, который загружает с сервера УЦ.
Если все проверки прошли успешно, сервер ИС начинает сеанс работы данной учётной записи клиента.

Повторяю, что выдачу сертификатов выполняет другая служба, которая может находиться (и чаще всего находится) на совершенно другом сервере.
При этом закрытые ключи хранятся у клиентов. Крайне желательно - на специальном носителе типа Рутокен, для маловажных служб - в реестре пользователя.

Если вы переустанавливаете сервер информационной системы (одну программу или всю систему целиком), то вам достаточно будет просто восстановить (скопировать/загрузить) только базу учётных записей клиентов для службы ИС .

Если у вас сервер выполняет все роли - и контроллер домена, и удостоверяющий центр, и сервер информационной системы, тогда нужно будет сделать выгрузку с последующим восстановлением и для базы Active directory, и для базы удостоверяющего центра (включая закрытый ключ сертификата УЦ), и для базы пользователей информационной системы.