Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

6 Страницы«<456
Опции
К последнему сообщению К первому непрочитанному
Offline Dim  
#101 Оставлено : 6 августа 2014 г. 11:45:36(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Да сертификат с галкой и он у меня один. И на сервере и на клиенте

Отредактировано пользователем 6 августа 2014 г. 11:47:02(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#102 Оставлено : 6 августа 2014 г. 11:58:41(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Dim Перейти к цитате
Да сертификат с галкой и он у меня один. И на сервере и на клиенте

1) Если на других сертификатах работоспособность доказана — то дело, с большой вероятностью, не в настройках IPsec
2) Возможно стоит посмотреть в сторону политики IPSec CRL checking (StrongCRLCheck): http://technet.microsoft.com/en-us/library/cc759130(v=ws.10).aspx

Microsoft коротко написал:
netsh ipsec dynamic set config strongcrlcheck value={0 | 1 | 2}

  • 0 — disables CRL checking (this is the default for Windows 2000).
  • 1 — causes CRL checking to be attempted and certificate validation to fail only if the certificate is revoked (this is the default for Windows XP and Windows Server 2003). Other failures that are encountered during CRL checking (such as the revocation URL not being reachable) do not cause certificate validation to fail.
  • 2 — enables strong CRL checking, which means that CRL checking is required and that certificate validation fails if any error is encountered during CRL processing. Set this registry value for enhanced security.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#103 Оставлено : 6 августа 2014 г. 12:36:29(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло.
Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена.
Может на мой сертификат взгляните?

Да и еще, ошибка соединения выдается сразу, без задержки.

Отредактировано пользователем 6 августа 2014 г. 12:37:58(UTC)  | Причина: Не указана

Offline Дмитрий Пичулин  
#104 Оставлено : 6 августа 2014 г. 12:40:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Dim Перейти к цитате
Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло.
Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена.
Может на мой сертификат взгляните?

Да и еще, ошибка соединения выдается сразу, без задержки.

Давайте, а также желательно логи cp_ipsec_info, сюда или на почту pdn@cryptopro.ru.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#105 Оставлено : 7 августа 2014 г. 9:27:42(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Дело оказалась в корневых сертификатах, которые в доверенных компьютера. Несколько раз смотрел, почему пропустил не пойму.
Offline Dim  
#106 Оставлено : 7 августа 2014 г. 17:06:38(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Уважаемый pd, подскажите я правильно понял или нет.
На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)?
Offline Дмитрий Пичулин  
#107 Оставлено : 8 августа 2014 г. 8:40:07(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Dim Перейти к цитате
Уважаемый pd, подскажите я правильно понял или нет.
На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)?

Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения.

Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится.

Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения.
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#108 Оставлено : 8 августа 2014 г. 10:09:27(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Автор: pd Перейти к цитате

Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения.

Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится.

Понял.

Автор: pd Перейти к цитате

Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения.

Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату. Выпустил сертификат для сервера с указанием назначения «Проверка подлинности сервера» (1.3.6.1.5.5.7.3.1) для клиента назначения «Проверка подлинности клиента» (1.3.6.1.5.5.7.3.2). В CN клиентского сертификата указал полное доменное имя dim@test.ru. Сертификаты установил следующим образом:

на сервере серверный сертификат в личные хранилища компьютера с привязкой к закрытому ключу, на клиенте этот же сертификат установил тоже личные хранилища компьютера но уже без закрытого ключа

на клиенте клиентский сертификат в личные хранилища пользователя с привязкой к закрытому ключу, эта машина не входит в домен.

При попытке подключения выдает ошибку что такие имя пользователя и пароль в домене отсутствуют. Придаете пожалуйста направления куда рыть.
Offline Дмитрий Пичулин  
#109 Оставлено : 8 августа 2014 г. 10:29:38(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Dim Перейти к цитате
Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату.

Этот сценарий у нас проработан и внедрен, сами именно так подключаемся удаленно к офису.

"Руководство администратора безопасности" доступно здесь: https://www.cryptopro.ru/products/ipsec/downloads
Знания в базе знаний, поддержка в техподдержке
Offline Dim  
#110 Оставлено : 8 августа 2014 г. 11:48:36(UTC)
Dim

Статус: Активный участник

Группы: Участники
Зарегистрирован: 10.04.2008(UTC)
Сообщений: 157
Откуда: Новороссийск

Поблагодарили: 14 раз в 8 постах
Почитал.
Насколько я понял для того чтобы реализовать аутентификацию по сертификату должен быть поднят домен в домене поднят ЦС с ролью предприятия.
Либо должен быть указан RADIUS сервер, сторонего производителя, который умеет проводить аутентификацию по сертификатам.
Offline Дмитрий Пичулин  
#111 Оставлено : 8 августа 2014 г. 11:54:52(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Dim Перейти к цитате
Почитал.
Насколько я понял для того чтобы реализовать аутентификацию по сертификату должен быть поднят домен в домене поднят ЦС с ролью предприятия.
Либо должен быть указан RADIUS сервер, сторонего производителя, который умеет проводить аутентификацию по сертификатам.

Темой не владею. Если у вас остались вопросы не по теме IPsec попробуйте задать в соответствующей ветке на форуме или обратиться в наш support (support.cryptopro.ru).
Знания в базе знаний, поддержка в техподдержке
Offline Zhh  
#112 Оставлено : 2 ноября 2016 г. 10:46:15(UTC)
Zhh

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.11.2016(UTC)
Сообщений: 2

Доброго времени суток!
Возникла необходимость защитить протокол RDP (обмен данными между удалённой рабочей станцией должн быть защищен сертифицированной реализацией протокола TLS или IPSec). В качестве одного из вариантов рассматриваем применение КриптоПро IPsec.
В руководстве администратора подробно описано все для построения подключения типа «точка-сеть». Сервер удаленного доступа (VPN-сервер) можно настроить с использованием Службы Windows Server RRAS (Routing and Remote Access Server). Подскажите,а каким образом это правильно сделать, если VPN-сервер поднят на Windows 7 и при подключении типа «точка-точка»?
Offline Дмитрий Пичулин  
#113 Оставлено : 2 ноября 2016 г. 12:45:48(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Zhh Перейти к цитате
Подскажите,а каким образом это правильно сделать, если VPN-сервер поднят на Windows 7 и при подключении типа «точка-точка»?

Расскажите каким образом VPN-сервер поднят на Windows 7?

Расскажите про вашу задачу более подробно:
  • К каким компьютерам необходимо обеспечить защищенное RDP соединение (это сервер или клиентские машины)?
  • Находятся ли они на периметре сети или за NAT?
  • Кто будет подключаться, пользователи внутри сети или через Интернет?


Знания в базе знаний, поддержка в техподдержке
Offline Zhh  
#114 Оставлено : 2 ноября 2016 г. 13:40:29(UTC)
Zhh

Статус: Новичок

Группы: Участники
Зарегистрирован: 01.11.2016(UTC)
Сообщений: 2

Автор: pd Перейти к цитате

Расскажите каким образом VPN-сервер поднят на Windows 7?

Расскажите про вашу задачу более подробно:
  • К каким компьютерам необходимо обеспечить защищенное RDP соединение (это сервер или клиентские машины)?
  • Находятся ли они на периметре сети или за NAT?
  • Кто будет подключаться, пользователи внутри сети или через Интернет?




На самом деле,VPN-сервер пока еще никак не поднят, это пока в теории.

Необходимо обеспечить защищенное RDP соединение к клиентским машинам.

Они находятся за NAT.

Будут подключаться пользователи внутри сети.
Offline Дмитрий Пичулин  
#115 Оставлено : 2 ноября 2016 г. 13:45:15(UTC)
pd

Статус: Сотрудник

Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC)
Сообщений: 1,192
Откуда: КРИПТО-ПРО

Сказал(а) «Спасибо»: 27 раз
Поблагодарили: 206 раз в 177 постах
Автор: Zhh Перейти к цитате
Необходимо обеспечить защищенное RDP соединение к клиентским машинам.

Они находятся за NAT.

Будут подключаться пользователи внутри сети.


Если и машины, и клиенты находятся в одной сети — накрываете порт RDP правилами IPsec, всё.

Знания в базе знаний, поддержка в техподдержке
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
6 Страницы«<456
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.