locked
Установка сертификатов терминальных серверов на удаленные клиенты RRS feed

  • Вопрос

  • Всем привет !

    В организации развернут НА кластер терминальных серверов на Windows 2012
    Развернут доменный центр сертификации. Всем пользователям локальной сети
    выданы сертификаты для работы с кластером терминальных серверов. Из локальной
    сети организации все работает на ура и пользователи работают по защищенному SSL
    соединению. Причем как через RDWeb так и по протоколу RDP.
    В качестве шлюза во внешний мир используется FreeBSD c NAT и firewall естественно.
    Редирект портов на шлюзе сделан к кластеру. На компьютеры удаленных пользователей
    установлены как корневой сертификат доменного центра сертификации так и сертификат
    кластера терминальных серверов. Но при подключении удаленных пользователей
    выдается сообщение что система не может проверить отозван этот сертификат или нет
    и естественно никакое защитное соединение не устанавливается. Понятное дело что мешает
    NAT на шлюзе. Подскажите в какую сторону надо копать ?
    Заранее спасибо

    Заранее извините если разместил сообщение не в той ветке                    
    8 декабря 2017 г. 16:42

Все ответы

  • Копать в сторону AIA и CRL/OCSP, которые в клиентских сертификатах. pkiview.msc и там смотрите. Вот такая примерно штука:

    • Изменено webDancer 8 декабря 2017 г. 16:56
    8 декабря 2017 г. 16:50
  • это не касается ответа, но речь наверное идет не про кластер, а про ферму.

    емнип 2008 была последняя в которой поддерживалась кластеризация, некоторых фич rds, таких как connection brocker (или его предшествинниа)


    The opinion expressed by me is not an official position of Microsoft

    8 декабря 2017 г. 19:59
    Модератор
  • Спасибо за ответ...очень приятно было его прочитать....

    что-то подобное приходится делать разворачивая Exchange.......

    Посмотрел у себя в центре сертификации....все у меня есть из того что показано у Вас на картинке...

    КРОМЕ того что касается http:/ расположения.....

    Значит насколько я начинаю догонять своими куцыми мозгишками я должен сделать следующие вещи....

    1. На внешнем DNS сервере который держит зону домена сделать запись А указывающую на

    центр сертификации....точнее это будет внешний интерфейс шлюза....но имя будет центра сертификации...

    2. На шлюзе сделать редирект 80 порта к центру сертификации....

    3. На самом центре сертификации настроить CRL (списки отзыва сертификатов).....

    4. На самом центре сертификации настроить Delta CRL....

    Это понятно....не понятно как настроить AIA ?

    9 декабря 2017 г. 12:37
  • тока для справки...кластеризация поддерживается даже и в 2016 сервере....
    9 декабря 2017 г. 12:39
  • тока для справки...кластеризация поддерживается даже и в 2016 сервере....

    Удивили. В документации например тут нет упоминания о том что RDS может быть кластеризирован 



    The opinion expressed by me is not an official position of Microsoft

    9 декабря 2017 г. 13:31
    Модератор
  • OCSP покурить как вариант(или вы под AIA его и имели в виду?)..

    9 декабря 2017 г. 13:36
  • тока для справки...кластеризация поддерживается даже и в 2016 сервере....

    Удивили. В документации например тут нет упоминания о том что RDS может быть кластеризирован 



    The opinion expressed by me is not an official position of Microsoft

    да у вас там в Киеве есть чему удивить...аж весь мир удивили....лично разворачивал кластер и на 2012 и на 2016 ......
    9 декабря 2017 г. 15:00
  • OCSP покурить как вариант(или вы под AIA его и имели в виду?)..


    щас пытаюсь вкурить что такое AIA и чем оно отличается от OCSP....
    9 декабря 2017 г. 15:01

  • да у вас там в Киеве есть чему удивить...аж весь мир удивили....лично разворачивал кластер и на 2012 и на 2016 ......
    Ваша фраза может быть воспринята как провокация, а такому тут не рады. Я не говорю что фичи failover cluster нет, я говорю что роль RDS отсутвует в этой фиче начиная с 2008 сервера. Мои слова основываются на документации и личном опыте (но личному опыту можно не верить в отличии от документации). Я в ваших словах вижу лиш голословные утверждения и провокации.

    The opinion expressed by me is not an official position of Microsoft

    9 декабря 2017 г. 17:06
    Модератор
  • >>Ваша фраза может быть воспринята как провокация, а такому тут не рады.

    Мы здесь без политики. Вектор, ты тож близко к сердцу не принимай. Но тотальное модерирование тем связанных с политикой я одобряю. Но остальное типа родных тырнет войн, перехода на личности и всего остального, что запрещено правилами я бы оставил, бо веселее как то. :-)

    ---

    по теме: нужно больше инфы по вашей PKI и подробнее схему сети.. количество народу, бюджет и все остальное. Выбор решения связан с многими факторами.

    з.ы.

    кластеризовывать сешшн хосты не пробовал, бо бессмысленно, но HA кластер у брокера вроде как это бест практис тащемта.


    • Изменено Svolotch 10 декабря 2017 г. 14:48 HA кластер(уточнил)
    10 декабря 2017 г. 14:42
  • >>Ваша фраза может быть воспринята как провокация, а такому тут не рады.

    Мы здесь без политики. Вектор, ты тож близко к сердцу не принимай. Но тотальное модерирование тем связанных с политикой я одобряю. Но остальное типа родных тырнет войн, перехода на личности и всего остального, что запрещено правилами я бы оставил, бо веселее как то. :-)

    ---

    по теме: нужно больше инфы по вашей PKI и подробнее схему сети.. количество народу, бюджет и все остальное. Выбор решения связан с многими факторами.

    з.ы.

    кластеризовывать сешшн хосты не пробовал, бо бессмысленно, но HA кластер у брокера вроде как это бест практис тащемта.


    Брокер можно было кластеризировать как deprecetad фичу в 2012 без р2, с р2 его вроде вообще нет.

    + брокер это не роль рдс, а ее компонента (всего одна из многих). Но если автор уверен в своих словах, то кто я такой что бы им не верить, даже если доки (линк был выше) говорят обратное. Опять таки скажу что к сути вопроса это отношения не имеет (скорее всего)


    The opinion expressed by me is not an official position of Microsoft

    10 декабря 2017 г. 14:59
    Модератор
  • ну суть вопроса - доставка црл на клиентов или проверка каждого сертификата через OSCP.

    если по уму то там нужно курить чо как выпускается наружу и выпускается ли вообще, каким образом цепляются клиенты,есть ли дмз, какое оборудование натит и тд и тп.

    10 декабря 2017 г. 15:50
  • Если доменная инфраструктура PKI настроена "по-умолчанию", то в издаваемых корпоративным CA сертификатах будет два "хранилища" для CRL - в службе каталогов (ldap://) и на web-сервере (http://).

    Проверка "хранилищ" идет по очереди, соответственно сначала проверит в LDAP, отвалится по тайм-ауту, потом на web-сервере по http.

    Проблема в том, что для внешних клиентов ОБА "хранилища" в нормальной сети не доступны, поэтому проверка CRL в обоих случаях отваливается по тайм-ауту.

    Решение: публиковать CRL на доступном внешним клиентам web-сервере, например в DMZ. Для этого надо будет внести правки в настройки CA (CDP и т.д.), поднять web-сервер в DMZ, перевыпустить сертификаты (чтобы там были обновленные CDP), опубликовать CRL'ы на web-сервере в DMZ.

    На компьютерах удаленных пользователей нужно добавить в доверенные ТОЛЬКО корневой сертификат доменного центра сертификации.

    11 декабря 2017 г. 5:52
  • Если доменная инфраструктура PKI настроена "по-умолчанию", то в издаваемых корпоративным CA сертификатах будет два "хранилища" для CRL - в службе каталогов (ldap://) и на web-сервере (http://).

    Проверка "хранилищ" идет по очереди, соответственно сначала проверит в LDAP, отвалится по тайм-ауту, потом на web-сервере по http.

    Проблема в том, что для внешних клиентов ОБА "хранилища" в нормальной сети не доступны, поэтому проверка CRL в обоих случаях отваливается по тайм-ауту.

    Решение: публиковать CRL на доступном внешним клиентам web-сервере, например в DMZ. Для этого надо будет внести правки в настройки CA (CDP и т.д.), поднять web-сервер в DMZ, перевыпустить сертификаты (чтобы там были обновленные CDP), опубликовать CRL'ы на web-сервере в DMZ.

    На компьютерах удаленных пользователей нужно добавить в доверенные ТОЛЬКО корневой сертификат доменного центра сертификации.

    Спасибо за ответ...очень приятно было его прочитать....если можно то более подробно ?

    Дело в том что я проделал следующее

    1. На внешнем DNS сервере который держит зону домена сделал запись А указывающую на

    центр сертификации....точнее это внешний интерфейс шлюза....

    2. На шлюзе сделал редирект 80 порта к центру сертификации....

    3. На самом центре сертификации настроил CRL (списки отзыва сертификатов).....

    4. На самом центре сертификации настроил Delta CRL....

    5. Изменил сертификат развертывания....соответственно поменялись и сертификаты у юзеров..

    6. На шлюзе редирект 443, 3389 к на IP кластера

    Теперь удаленные юзеры заходят используя SSL, а локальные могут зайти везде но без SSL...

    Думаю своими куцыми мозгишками что надо что-то делать с именем кластера...точнее ее записью в локальном DNS....надо будет сегодня подумать об этом пока буду ехать домой...

    А вот как настроить AIA  мне так и осталось не понятно ? Скорее всего плохо разобрался за выходные....

    • Изменено kleneva 11 декабря 2017 г. 16:30
    11 декабря 2017 г. 16:09
  • ну суть вопроса - доставка црл на клиентов или проверка каждого сертификата через OSCP.

    если по уму то там нужно курить чо как выпускается наружу и выпускается ли вообще, каким образом цепляются клиенты,есть ли дмз, какое оборудование натит и тд и тп.


    Внимательней прочитайте сообщение исходное мое....там все сказано....а вообще спасибо за помощь...
    11 декабря 2017 г. 16:10
  • >>Ваша фраза может быть воспринята как провокация, а такому тут не рады.

    Мы здесь без политики. Вектор, ты тож близко к сердцу не принимай. Но тотальное модерирование тем связанных с политикой я одобряю. Но остальное типа родных тырнет войн, перехода на личности и всего остального, что запрещено правилами я бы оставил, бо веселее как то. :-)

    ---

    по теме: нужно больше инфы по вашей PKI и подробнее схему сети.. количество народу, бюджет и все остальное. Выбор решения связан с многими факторами.

    з.ы.

    кластеризовывать сешшн хосты не пробовал, бо бессмысленно, но HA кластер у брокера вроде как это бест практис тащемта.


    Брокер можно было кластеризировать как deprecetad фичу в 2012 без р2, с р2 его вроде вообще нет.

    + брокер это не роль рдс, а ее компонента (всего одна из многих). Но если автор уверен в своих словах, то кто я такой что бы им не верить, даже если доки (линк был выше) говорят обратное. Опять таки скажу что к сути вопроса это отношения не имеет (скорее всего)


    The opinion expressed by me is not an official position of Microsoft


    ну-ну......двигайте прогресс....а что развернуть на виртуалках в 2012 кластер влом что-ли ?
    11 декабря 2017 г. 16:12
  • Привет всем !

    Народ я был бы Вам признателен и очень если бы ВЫ писали сообщения по теме открытой мной...

    Мне некогда флудить.....дело надо делать....Заранее спасибо....

    11 декабря 2017 г. 16:18
  • Добрый День.

    Уважаемый kleneva проявите уважение к отвечающим вам форумчанам, здесь вам никто ни ...

    Надеюсь на понимание


    Добрый день !

    Ну и зачем ВЫ поместили Ваш пост ? Как он поможет в решении проблемы ?

    Иногда лучше молчать чем флудеть без толку......это сильно затрудняет решение вопроса и отвлекает на не нужный флуд....всегда было на форумах так...если есть чего по теме писать пиши...нет молчи...сойдешь за умного...так было всегда...так что ВЫ хотели сказать в вашем сообщении ?

    Есть что-то написать по теме пишите...заранее благодарен Вам за это


    12 декабря 2017 г. 11:41