locked
Certificat SAN sur TSGateway non pris en compte RRS feed

  • Discussion générale

  • Bonjour,
    Voilà, je rencontre un problème pour certifier une passerelle TS. J'essaie d'installer un certificat SAN (avec 2 nom DNS interne:machine.domaineint.local et externe ts.domaineext.com) dans les propriétés SSL du TSGateway manager, ça fonctionne (affiche nom externe ts.domaineext.com, les dates de validité et emetteur),j'applique les paramètres et fais OK. Je retourne dans les propriétés , onglet SSL et là rien n'est pris en compte (vide, pas de certificat attaché) !? La chaine de confiance est OK car le certificat root emetteur est bien dans le magasin correspondant sur la TSG. La clé privée est Ok pour le certificat emis.
    Pour info, j'ai créé le certificat SAN avec une CA ROOT Entreprise sur un serveur n'appartenant pas au domaine de la TSG.

    Pour OWA tout fonctionne pourtant sans erreur SSL lorsque je lie ce certificat SAN à IIS. Depuis un navigateur exterieur (avec le CA root emetteur du SAN installé sur la machine cliente bien sur), j'accède bien en SSL sans warning sur l'URL externe (ts.domaineext.om). Si on affiche les infos du certificat depuis le navigateur, on est bien sur le certificat SAN.

    Visiblement, la TSG ne conserve les parametres SSL que pour un certificat émis par une CA ROOT du même domaine ou autosigné.
    Comment faire pour utiliser ce certificat SAN ? Pourquoi SSL est Ok avec IIS et ce certificat SAN et pas pour la TSG ?

    Merci pour votre aide.
    Ludo

    mardi 24 novembre 2009 10:34

Toutes les réponses

  • Ton certificat a bien  été installé dans les certificats du compte machine (pas celui de l'utilisateur) ?

    cdlt

    Ludo

    http://ludovikdopierala.blogspot.com

    mardi 24 novembre 2009 11:19
  • Oui bien sur, la TSG n'accepte que des certificats basés/émis à partir du modèle Ordinateur.
    Un certificat utilisateur ne serait de toute façon pas séléctionnable.


    Ps: pour rappel, ce certificat fonctionne très bien pour un canal SSL sur un site web IIS. La TSG accèpte le certificat SAN, mais si on réouvre les propriétés SSL de la TSG après, les parametres SSL sont non définit (pas de certificat attaché pour la Gateway). Par contre le site Web IIS conserve dans sa liaison https le certificat SAN !

    Merci Ludo
    Ludo
    mardi 24 novembre 2009 11:34
  • Tout simplement, il me semble que la passerelle TS n'accepte les certificats pour un seul nom de domaine et pas un nom de domaine interne et un nom de domaine externe ...


    Eric Perromat - MVP Terminal Server
    mardi 24 novembre 2009 12:00
  • Je ne parlais pas du modèle de certificat mais l'emplacement où celui-ci a été enregistré sur le poste.
    Ouvrir MMC / Ajouter certificat / Connecter à l'ordinateur et non pas compte utilisateur
    vérifié qu'il fait parti des certificats

    cdlt,

    Ludo

    http://ludovikdopierala.blogspot.com
    mardi 24 novembre 2009 12:46
  • Ludo, merci, il s'agit bien d'un certificat machine, installé dans le magasin personnel machine.

    bonjour Eric, la TS Gateway supporte les wildcard et SAN certificates.

    Instinctivement, je pense que le problème vient du fait que ma CA ROOT emetrice est dans un domaine AD différant de la gateway TS, mais pourquoi ??. Un problème plus Microsoft que SSL. 
    Pourtant, à partir du moment où la trusted chain est correcte, SSL est OK. Ceci dit SSL fonctionne parfaitement en accès purement web sur/vers cette machine avec ce certificat SAN, autodiscover client Outlook 2007 pareil. Bref tout est Ok sauf la passerelle TS qui ne conserve pas ce certificat.
    pour info :
    Does TS Gateway support wildcard and SAN certificates? : 
    http://blogs.msdn.com/rds/archive/2008/12/04/introduction-to-ts-gateway-certificates.aspx

    SAN sur une CA ROOT Entreprise, Windows Server Entreprise :
    http://blogcastrepository.com/blogs/benoits/archive/2008/12/02/prise-de-t-234-te-avec-la-terminal-server-gateway.aspx


    NB : en interne j'ai configuré une autre TSG avec un certif SAN émis depuis la CA ROOT du même domaine, là c'est OK. Donc....SAN depuis root CA publique= doit être ok, mais pas avec SAN émis d'une ROOT CA d'un autre domaine visiblement !! J'ai du mal à comprendre pourquoi.

    Merci
    ludo
    mardi 24 novembre 2009 13:34