Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Да сертификат с галкой и он у меня один. И на сервере и на клиенте Отредактировано пользователем 6 августа 2014 г. 11:47:02(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,260 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 247 раз в 210 постах
|
Автор: Dim  Да сертификат с галкой и он у меня один. И на сервере и на клиенте 1) Если на других сертификатах работоспособность доказана — то дело, с большой вероятностью, не в настройках IPsec 2) Возможно стоит посмотреть в сторону политики IPSec CRL checking (StrongCRLCheck): http://technet.microsoft.com/en-us/library/cc759130(v=ws.10).aspxMicrosoft коротко написал:netsh ipsec dynamic set config strongcrlcheck value={0 | 1 | 2} - 0 — disables CRL checking (this is the default for Windows 2000).
- 1 — causes CRL checking to be attempted and certificate validation to fail only if the certificate is revoked (this is the default for Windows XP and Windows Server 2003). Other failures that are encountered during CRL checking (such as the revocation URL not being reachable) do not cause certificate validation to fail.
- 2 — enables strong CRL checking, which means that CRL checking is required and that certificate validation fails if any error is encountered during CRL processing. Set this registry value for enhanced security.
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло. Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена. Может на мой сертификат взгляните? Да и еще, ошибка соединения выдается сразу, без задержки. Отредактировано пользователем 6 августа 2014 г. 12:37:58(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,260 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 247 раз в 210 постах
|
Автор: Dim  Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло. Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена. Может на мой сертификат взгляните?
Да и еще, ошибка соединения выдается сразу, без задержки. Давайте, а также желательно логи cp_ipsec_info, сюда или на почту pdn@cryptopro.ru. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Дело оказалась в корневых сертификатах, которые в доверенных компьютера. Несколько раз смотрел, почему пропустил не пойму.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Уважаемый pd, подскажите я правильно понял или нет. На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,260 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 247 раз в 210 постах
|
Автор: Dim  Уважаемый pd, подскажите я правильно понял или нет. На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)? Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения. Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится. Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Автор: pd  Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения.
Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится.
Понял. Автор: pd  Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения.
Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату. Выпустил сертификат для сервера с указанием назначения «Проверка подлинности сервера» (1.3.6.1.5.5.7.3.1) для клиента назначения «Проверка подлинности клиента» (1.3.6.1.5.5.7.3.2). В CN клиентского сертификата указал полное доменное имя dim@test.ru. Сертификаты установил следующим образом: на сервере серверный сертификат в личные хранилища компьютера с привязкой к закрытому ключу, на клиенте этот же сертификат установил тоже личные хранилища компьютера но уже без закрытого ключа на клиенте клиентский сертификат в личные хранилища пользователя с привязкой к закрытому ключу, эта машина не входит в домен. При попытке подключения выдает ошибку что такие имя пользователя и пароль в домене отсутствуют. Придаете пожалуйста направления куда рыть.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,260 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 247 раз в 210 постах
|
Автор: Dim  Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату. Этот сценарий у нас проработан и внедрен, сами именно так подключаемся удаленно к офису. "Руководство администратора безопасности" доступно здесь: https://www.cryptopro.ru/products/ipsec/downloads |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Почитал. Насколько я понял для того чтобы реализовать аутентификацию по сертификату должен быть поднят домен в домене поднят ЦС с ролью предприятия. Либо должен быть указан RADIUS сервер, сторонего производителя, который умеет проводить аутентификацию по сертификатам.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,260 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 247 раз в 210 постах
|
Автор: Dim  Почитал. Насколько я понял для того чтобы реализовать аутентификацию по сертификату должен быть поднят домен в домене поднят ЦС с ролью предприятия. Либо должен быть указан RADIUS сервер, сторонего производителя, который умеет проводить аутентификацию по сертификатам. Темой не владею. Если у вас остались вопросы не по теме IPsec попробуйте задать в соответствующей ветке на форуме или обратиться в наш support ( support.cryptopro.ru). |
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.11.2016(UTC) Сообщений: 2
|
Доброго времени суток! Возникла необходимость защитить протокол RDP (обмен данными между удалённой рабочей станцией должн быть защищен сертифицированной реализацией протокола TLS или IPSec). В качестве одного из вариантов рассматриваем применение КриптоПро IPsec. В руководстве администратора подробно описано все для построения подключения типа «точка-сеть». Сервер удаленного доступа (VPN-сервер) можно настроить с использованием Службы Windows Server RRAS (Routing and Remote Access Server). Подскажите,а каким образом это правильно сделать, если VPN-сервер поднят на Windows 7 и при подключении типа «точка-точка»?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,260 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 247 раз в 210 постах
|
Автор: Zhh  Подскажите,а каким образом это правильно сделать, если VPN-сервер поднят на Windows 7 и при подключении типа «точка-точка»? Расскажите каким образом VPN-сервер поднят на Windows 7? Расскажите про вашу задачу более подробно: - К каким компьютерам необходимо обеспечить защищенное RDP соединение (это сервер или клиентские машины)?
- Находятся ли они на периметре сети или за NAT?
- Кто будет подключаться, пользователи внутри сети или через Интернет?
|
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 01.11.2016(UTC) Сообщений: 2
|
Автор: pd  Расскажите каким образом VPN-сервер поднят на Windows 7? Расскажите про вашу задачу более подробно: - К каким компьютерам необходимо обеспечить защищенное RDP соединение (это сервер или клиентские машины)?
- Находятся ли они на периметре сети или за NAT?
- Кто будет подключаться, пользователи внутри сети или через Интернет?
На самом деле,VPN-сервер пока еще никак не поднят, это пока в теории. Необходимо обеспечить защищенное RDP соединение к клиентским машинам. Они находятся за NAT. Будут подключаться пользователи внутри сети.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,260 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 28 раз Поблагодарили: 247 раз в 210 постах
|
Автор: Zhh  Необходимо обеспечить защищенное RDP соединение к клиентским машинам.
Они находятся за NAT.
Будут подключаться пользователи внутри сети. Если и машины, и клиенты находятся в одной сети — накрываете порт RDP правилами IPsec, всё. |
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close