Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

12 Страницы«<9101112>
Опции
К последнему сообщению К первому непрочитанному
Offline Dim  
#101 Оставлено : 6 августа 2014 г. 11:45:36(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Да сертификат с галкой и он у меня один. И на сервере и на клиенте

Отредактировано пользователем 6 августа 2014 г. 11:47:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#102 Оставлено : 6 августа 2014 г. 11:58:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Dim Перейти к цитате
Да сертификат с галкой и он у меня один. И на сервере и на клиенте

1) Если на других сертификатах работоспособность доказана — то дело, с большой вероятностью, не в настройках IPsec
2) Возможно стоит посмотреть в сторону политики IPSec CRL checking (StrongCRLCheck): http://technet.microsoft.com/en-us/library/cc759130(v=ws.10).aspx

Microsoft коротко написал:
netsh ipsec dynamic set config strongcrlcheck value={0 | 1 | 2}

  • 0 — disables CRL checking (this is the default for Windows 2000).
  • 1 — causes CRL checking to be attempted and certificate validation to fail only if the certificate is revoked (this is the default for Windows XP and Windows Server 2003). Other failures that are encountered during CRL checking (such as the revocation URL not being reachable) do not cause certificate validation to fail.
  • 2 — enables strong CRL checking, which means that CRL checking is required and that certificate validation fails if any error is encountered during CRL processing. Set this registry value for enhanced security.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#103 Оставлено : 6 августа 2014 г. 12:36:29(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло.
Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена.
Может на мой сертификат взгляните?

Да и еще, ошибка соединения выдается сразу, без задержки.

Отредактировано пользователем 6 августа 2014 г. 12:37:58(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#104 Оставлено : 6 августа 2014 г. 12:40:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Dim Перейти к цитате
Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло.
Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена.
Может на мой сертификат взгляните?

Да и еще, ошибка соединения выдается сразу, без задержки.

Давайте, а также желательно логи cp_ipsec_info, сюда или на почту pdn@cryptopro.ru.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#105 Оставлено : 7 августа 2014 г. 9:27:42(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Дело оказалась в корневых сертификатах, которые в доверенных компьютера. Несколько раз смотрел, почему пропустил не пойму.
Offline Dim  
#106 Оставлено : 7 августа 2014 г. 17:06:38(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Уважаемый pd, подскажите я правильно понял или нет.
На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)?
Offline Дмитрий Пичулин  
#107 Оставлено : 8 августа 2014 г. 8:40:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Dim Перейти к цитате
Уважаемый pd, подскажите я правильно понял или нет.
На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)?

Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения.

Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится.

Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#108 Оставлено : 8 августа 2014 г. 10:09:27(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Автор: pd Перейти к цитате

Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения.

Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится.

Понял.

Автор: pd Перейти к цитате

Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения.

Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату. Выпустил сертификат для сервера с указанием назначения «Проверка подлинности сервера» (1.3.6.1.5.5.7.3.1) для клиента назначения «Проверка подлинности клиента» (1.3.6.1.5.5.7.3.2). В CN клиентского сертификата указал полное доменное имя dim@test.ru. Сертификаты установил следующим образом:

на сервере серверный сертификат в личные хранилища компьютера с привязкой к закрытому ключу, на клиенте этот же сертификат установил тоже личные хранилища компьютера но уже без закрытого ключа

на клиенте клиентский сертификат в личные хранилища пользователя с привязкой к закрытому ключу, эта машина не входит в домен.

При попытке подключения выдает ошибку что такие имя пользователя и пароль в домене отсутствуют. Придаете пожалуйста направления куда рыть.
Offline Дмитрий Пичулин  
#109 Оставлено : 8 августа 2014 г. 10:29:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,442
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 31 раз
Поблагодарили: 412 раз в 306 постах
Автор: Dim Перейти к цитате
Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату.

Этот сценарий у нас проработан и внедрен, сами именно так подключаемся удаленно к офису.

"Руководство администратора безопасности" доступно здесь: https://www.cryptopro.ru/products/ipsec/downloads
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#110 Оставлено : 8 августа 2014 г. 11:48:36(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Почитал.
Насколько я понял для того чтобы реализовать аутентификацию по сертификату должен быть поднят домен в домене поднят ЦС с ролью предприятия.
Либо должен быть указан RADIUS сервер, сторонего производителя, который умеет проводить аутентификацию по сертификатам.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
12 Страницы«<9101112>
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.