none
Windows 2012 R2 Direct Access with Windows 7 CRL problem RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Ciao a tutti,

    sto cercando di realizzare un POC su Windows 2012 R2 Direct Access.

    Il mio ambiente prevede un server Direct Access W2012 R2 con due schede di rete una in DMZ e l'altra sulla rete interna.

    Il server si trova dietro il firewall perimetrale con lo IP pubblico nattato su quello di DMZ.

    Lato server DA dovrei esserci nel senso che la diagnostica non mi segnala problemi. (tutto verde) .I client sono tutti Windows 7 SP1 ultimate. Sto utilizzando la CA interna per la generazione dei certificati client e server per IPsec e per IP-HTTPS.

    Nonostante l'installazione di tutte le patches di prodotto lato server e client non riesco ad effettuare nessuna connessione.

    Dopo aver installato DCA sul mio client di prova ho notato che il problema che mi viene segnalato riguarda la CRL:

    "Impossibile convalidare un certificato di autenticazione. Non è possibile alcuna connessione all'elenco di revoche di certificati (CRL) IP-HTTPS."

    Dalla bibliografia online non capisco se la CRL riguarda il certificato IP-HTTPS oppure quelli per l'autenticazione IPsec.

    Se fosse quello IP-HTTPS potrei creare un certificato pubblico e risolvere visto che la CRL è già pubblicata. Altrimenti mi trovo in difficolta perchè non vorrei esporre la mia CRL interna.

    Qualcuno può aiutarmi a capire quale può essere il miglior approccio e come implementarlo?

    Grazie,

    Simone


    • Modificato Anca Popa lunedì 5 maggio 2014 12:11 typo error
    martedì 29 aprile 2014 16:29
    |

Risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    Nel momento in cui utilizzi una CA privata per un servizio utilizzato dall'esterno, come DirectAccess, devi comunque fare in modo che i client raggiungano il punto di pubblicazione della CRL, dall'esterno.

    Tieni conto che esporre la tua CRL privata non comporta nessun tipo di rischio, stai pubblicando un elenco di certificati revocati... che problema potrebbe mai esserci? Nessuno, direi.

    Io ti consiglio di affrontare un passo alla volta, come prima cosa potresti utilizzare un certificato Self-Signed per IP-HTTPS, è previsto e supportato, in questo modo escludi problemi derivanti dalla non ottimale configurazione della tua PKI interna.

    Poi direi che la pubblicazione della CRL è d'obbligo.

    Un altro test che puoi fare è utilizzare client Windows 8.1, che supportando "Kerberos Proxy" non necessitano di certificati per la computer authentication.

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    martedì 29 aprile 2014 21:55
    |
  • Question
    Registrati per votare
    1
    Registrati per votare

    Il certificato pubblico lo puoi usare per per IP-HTTPS, ma per la parte di computer authentication hai bisogno della CA interna, che deve emettere i certificati per tutti i computer che richiedono di essere autenticati al dominio.

    Se tu non avessi client Windows 7, ma solo 8/8.1, ti direi che ha senso usare un certificato pubblico per IP-HTTPS, così non sei obbligato ad implementare una PKI; nella tua situazione invece sei obbligato ad avere una PKI interna, per cui potrebbe non avere nessun vantaggio l'utilizzo di un certificato emesso da una CA pubblica, se non forse un maggiore livello di sicurezza, ma questo dipende da come implementi la tua PKI.

    Non ho idea delle dimensioni della tua infrastruttura e dei servizi che ci girano, ma oggi avere una PKI è quasi un requisito e, tornando al discorso CRL, è una best practice quella di renderla accessibile anche dall'esterno.

    Roberto

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta Anca Popa lunedì 5 maggio 2014 12:10
    mercoledì 30 aprile 2014 08:54
    |
  • Question
    Registrati per votare
    1
    Registrati per votare

    Buongiorno,

    non la vedo come un'alternativa è solo che devo giustificare la scelta al cliente e far validare il change ad un ente particolare. (questa è la prassi...purtroppo che può anche far naufragare il progetto)


    non ho capito quasi nulla di questa frase :)

    comunque qui le dritte per pubblicare la CRL

    http://technet.microsoft.com/en-us/library/cc778151(v=ws.10).aspx

    http://blogs.technet.com/b/configmgrteam/archive/2009/05/01/how-to-publish-the-crl-on-a-separate-web-server.aspx

    ciao.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 30 aprile 2014 08:55
    |
    Moderatore

Tutte le risposte

  • Question
    Registrati per votare
    1
    Registrati per votare

    Nel momento in cui utilizzi una CA privata per un servizio utilizzato dall'esterno, come DirectAccess, devi comunque fare in modo che i client raggiungano il punto di pubblicazione della CRL, dall'esterno.

    Tieni conto che esporre la tua CRL privata non comporta nessun tipo di rischio, stai pubblicando un elenco di certificati revocati... che problema potrebbe mai esserci? Nessuno, direi.

    Io ti consiglio di affrontare un passo alla volta, come prima cosa potresti utilizzare un certificato Self-Signed per IP-HTTPS, è previsto e supportato, in questo modo escludi problemi derivanti dalla non ottimale configurazione della tua PKI interna.

    Poi direi che la pubblicazione della CRL è d'obbligo.

    Un altro test che puoi fare è utilizzare client Windows 8.1, che supportando "Kerberos Proxy" non necessitano di certificati per la computer authentication.

    Roberto


    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    martedì 29 aprile 2014 21:55
    |
  • Question
    Registrati per votare
    0
    Registrati per votare

    Grazie Roberto.

    Quello che non capisco è se il client Windows 7 cerca la CRL per il solo certificato IP-HTTPS oppure per i certificati client/server autentication per stabilire la connessione IPsec oppure per entrambi.

    Questo aspetto è fondamentale perchè se acquistare un certificato pubblico esempio "da.mydomain.com" può risultare una spesa sostenibile, pensare a una soluzione PKI pubblica anche per i certificati client diventa più impegnativo.

    L'alternativa potrebbe quindi essere quella di pubblicare la CRL della mia CA interna.

    Riguardo al client Windows 8.1 sono d'accordo che mi risolverebbe il problema ma purtroppo non è applicabile nel mio scenario.

    Simone

    Simone

    mercoledì 30 aprile 2014 06:38
    |
  • Question
    Registrati per votare
    0
    Registrati per votare


    L'alternativa potrebbe quindi essere quella di pubblicare la CRL della mia CA interna.


    come ti ha già scritto Roberto, pubblicare la CRL della tua CA interna non comporta alcun problema.

    non capisco perchè tu la veda come un'"alternativa".

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 30 aprile 2014 08:04
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno,

    non la vedo come un'alternativa è solo che devo giustificare la scelta al cliente e far validare il change ad un ente particolare. (questa è la prassi...purtroppo che può anche far naufragare il progetto)

    Quindi se c'è una "scorciatoia" ovvero comprare un certificato pubblico per IP-HTTPS ed ho risolto siamo tutti più contenti. La mia domanda rispetto a quale CRL è necessaria è propria orientata ad individuare la migliore soluzione finale.

    Avete dei link che spiegano come pubblicare la CRL?

    Grazie,

    Simone

    mercoledì 30 aprile 2014 08:45
    |
  • Question
    Registrati per votare
    1
    Registrati per votare

    Il certificato pubblico lo puoi usare per per IP-HTTPS, ma per la parte di computer authentication hai bisogno della CA interna, che deve emettere i certificati per tutti i computer che richiedono di essere autenticati al dominio.

    Se tu non avessi client Windows 7, ma solo 8/8.1, ti direi che ha senso usare un certificato pubblico per IP-HTTPS, così non sei obbligato ad implementare una PKI; nella tua situazione invece sei obbligato ad avere una PKI interna, per cui potrebbe non avere nessun vantaggio l'utilizzo di un certificato emesso da una CA pubblica, se non forse un maggiore livello di sicurezza, ma questo dipende da come implementi la tua PKI.

    Non ho idea delle dimensioni della tua infrastruttura e dei servizi che ci girano, ma oggi avere una PKI è quasi un requisito e, tornando al discorso CRL, è una best practice quella di renderla accessibile anche dall'esterno.

    Roberto

    IT Consultant | Microsoft MCTS MCITP MCSA MCSE MCT

    • Contrassegnato come risposta Anca Popa lunedì 5 maggio 2014 12:10
    mercoledì 30 aprile 2014 08:54
    |
  • Question
    Registrati per votare
    1
    Registrati per votare

    Buongiorno,

    non la vedo come un'alternativa è solo che devo giustificare la scelta al cliente e far validare il change ad un ente particolare. (questa è la prassi...purtroppo che può anche far naufragare il progetto)


    non ho capito quasi nulla di questa frase :)

    comunque qui le dritte per pubblicare la CRL

    http://technet.microsoft.com/en-us/library/cc778151(v=ws.10).aspx

    http://blogs.technet.com/b/configmgrteam/archive/2009/05/01/how-to-publish-the-crl-on-a-separate-web-server.aspx

    ciao.

    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    mercoledì 30 aprile 2014 08:55
    |
    Moderatore