Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.08.2020(UTC) Сообщений: 40  Откуда: Москва Сказал(а) «Спасибо»: 7 раз
|
Пытаюсь организовать подключение пользователей к локальной сети через службу RDGateway. В процессе установки (или настройки) службы удаленных рабочих столов (СУРС) предлагается через пункт "сертификаты" создать некий сертификат развертывания и соотнести его со службами ролей (посредника подключений, веб-доступа и шлюза). Такой сертификат я создаю (в мастере настройки), даю ему имя типа external.mydomain.ru (которое резолвится во внешних DNS). Пытаюсь подключаться через https://external.mydomain.ru/RDWeb - вроде бы нормально, шлюз виден. Одновременно с этим во внутреннем домене (mydomain.internal, в локальной сети) настроен центр сертификации с корневым сертификатом mydomain.internal, посредством которого я, используя шаблон авторизации по смарт-карте, записываю на e-токен сертификат пользователя, посредством которого успешно логинюсь на локальный компьютер в локальной сети. Вопрос: какой и каким образом мне нужно создать (использовать) сертификат для доступа по смарт-карте к шлюзу external.mydomain.ru с внешней машины (из интернета), чтобы оттуда уже попасть во внутреннюю сеть? Сертификат для локального домена не прокатывает (на клиенте rdp выскакивает ошибка типа "Не удалось подключиться..., т.к адрес сервера шлюза удаленных рабочих столов является недостижимым или неправильным"), хотя сменив метод входа (на клиенте rdp) на логин-пароль коннект проходит нормально.
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз
|
Судя по соотношению количества просмотров/ответов - спросил что-то не то. Или то - но непонятно.
Готов расписать проблему подробнее, если что не так....
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404  Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Вроде всё должно работать из коробки.
А с этим клиентским сертификатов RunAs на доменной машене работает?
ГОСТ-используете? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз
|
Доменная сеть. Комп1 - просто комп, Комп2 - сервер шлюза RD. Внутри сети по смарт-карте могу подключиться (и локально, и через rdp) к обоим компам.
Снаружи (через rdp.mynetwork.ru) по логину-паролю - подключаюсь в Комп1 через Комп2. А вот через смарт-карту - не получается (Комп2 не дает соединиться, "... адрес сервера rds... недостижим или неправильный"). Хотя если к нему же приконнектиться через логин-пароль - все ОК, на Комп1 уже могу по смарт-карте.
КриптоПро ГОСТ 2012
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
А сертификат на RDG ГОСТ? |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз
|
Нет, там просто самоподписывающийся
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
|
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Не уверен, что будет работать без ГОСТ-сертификата. |
|
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 20.08.2020(UTC) Сообщений: 40 Откуда: Москва Сказал(а) «Спасибо»: 7 раз
|
Инструкцию эту я знаю, чуть не наизусть...
Все одно - не складывается у меня общая картинка (не исключаю, что просто туплю, тем не менее). Может кто-нибудь попробует нарисовать общую схему и порядок действий? Не могу понять как соотносятся локальный центр сертификации в домене (посредством которого я создаю сертификаты для входа по смарт-карте (на компьютеры сети)) и тестовый центр КриптоПро (откуда я должен сгенерить сертификат для https и (наверное в этом основной затык - некий сертификат пользователя для доступа к шлюзу RD, который к тому же мне надо (как я понимаю) поместить на ту же смарт-карту..)) Или у меня должно быть два центра сертификации в домене? Посредством чего тестовый сертификат пользователя от тестового УЦ КриптоПро связан с тестовым сертификатом сервера от того же центра? Не не могу я уложить всю эту схему в голове
|
|
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 12.12.2007(UTC) Сообщений: 6,404 Откуда: КРИПТО-ПРО Сказал «Спасибо»: 37 раз
Поблагодарили: 719 раз в 623 постах
|
Сертификат для https можете сделать на любом УЦ, в том числе и на доменном. Тестовый упоминается только для простоты. Сертификат доступа к шлюзу — это тот же сертификат пользователя домена. Отредактировано пользователем 25 августа 2020 г. 10:08:50(UTC)
| Причина: Не указана |
|
|
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close
