none
Отзыв сертификата удаленного пользователя RRS feed

  • Общие обсуждения

  • Добрый вечер, 

    Есть шлюз сервера терминалов, за ним сервер терминалов, есть сайт на IIS туда будут публиковаться сертификаты, предположим что ссылки на CDP И AIA верные. 

    Вопрос, в какой момент времени при аутентификации удаленный пользователь узнает о неправильном/просроченном/отозванном сертификате ?

    Нужно ли открывать в интернет порт на сайт? Какие меры безопасности? Не понимаю немного алгоритма. Спасибо. 

Все ответы

  • Пользователь узнает о том, чо у него неправильный сертификат, сразу же, как только шлюз сервера терминалов откажется производить аутентификацию по этому сертификату.

    Шлюз может проверять сертификат на предмет отзыва двумя способами - либо по списку отзыва, либо в оперативном режиме (проткол OCSP). Проверка по списку отзыва производится по его локальной кэшированной копии, которая имеет определенный срок действия (он указывается в настройках ЦС), и в пределах этого срока шлюз имеет право, вообще говоря, эту копию не обновлять - но при желании ее можно периодически обновлять скриптом.

    Доступ к сайту, где опубликованы сертифкаты и списки отзыва, в основном, нужен для загрузки этих списков - по ним клиент проверяет, не отозван ли сертификат шлюза. В некоторых сценариях  (при использовании промежуточного ЦС, например) доступ нужен и для загрузки сертификатов (в частности - сертификата промежуточного ЦС).  В принципе, если отключить проверку отзыва сертифкатов на клиенте или установить очень большой интервал между их выпусками в настройках ЦС, то без доступа снаружи к этому веб-сайту можно вообще обойтись (однако, сразу предупреждаю -  MS такой вариант не одобряет, считается, что он годится для крайне исключительных условий - вроде устранения неисправностей).

    Еще веб-сайт может пригодиться для самостоятельного запроса пользователями сертификатов для себя. Нужно это Вам или нет - решайте сами.


    Слава России!

  • Узнает в момент подключения. При установлении ssl соединения клиент проверяет CDP который указан в сертификате, соответственно эта ссылка должна бы доступна.

  • какие базовые методы защиты используются для страницы содержащей корневой сертификат и crl ?

    запрет просмотра содержимого?

    в моем случае ссылка находится в домене, что-то типа http://ca.mydomain.local

    пользователь подключается на шлюз сервера терминалов, по адресу внешнего интерфейса маршрутизатора. и далее по внутреннему адресу попадает на сервер терминалов. 

    на маршрутизаторе проброшен 443 порт на шлюз сервера терминалов.

    будет ли доступна ссылка на сайта в такой схеме? или надо пробрасывать 80 порт до сайта? 

    не будет ли проблем с dns именами?

    • Изменено BBC2k 12 мая 2013 г. 20:15
  • Обычно к этим файлам предоставляется анонимный доступ - в них нет ничего секретного. Запрет на просмотр содержимого папки, где лежат эти файлы - чисто по Вашему желанию (в IIS по умолчанию он стоит).


    Слава России!

  • Узнает в момент подключения. При установлении ssl соединения клиент проверяет CDP который указан в сертификате, соответственно эта ссылка должна бы доступна.
    Да, Вы правы - я забыл, что клиент должен иметь возможность хотя бы раз загрузить CRL (если, коненчо, у него вообще не отключена проверка отзыва).

    Слава России!

  • Узнает в момент подключения. При установлении ssl соединения клиент проверяет CDP который указан в сертификате, соответственно эта ссылка должна бы доступна.

    Да, Вы правы - я забыл, что клиент должен иметь возможность хотя бы раз загрузить CRL (если, коненчо, у него вообще не отключена проверка отзыва).

    Слава России!

    Так вопрос остался открытым, необходимо ли дополнительно пробрасывать порт, для доступности сайта из интернета? или при аутентификации на шлюзе сервера терминалов он пройдет до него по интрасети?
  • Надо пробрасывать. Проверка списков отзыва происходит до подключения через шлюз. Поэтому путь к внутреннему IIS будет недоступен.
  • Надо пробрасывать. Проверка списков отзыва происходит до подключения через шлюз. Поэтому путь к внутреннему IIS будет недоступен.

    Возможно ли регулировать доверенные отношения клиент-сервер с помощью отзыва сертификатов на сервере шлюза терминалов?

    т.е допустим при смене/отзыве сертификата с шлюза сервера терминалов и публикации нового приходилось бы проделать аналогичную процедуру со стороны клиента.

    на данные момент имеем, что при этой процедуре, на стороне клиента меняется имя шлюза сервера терминалов на новое и далее он спокойно подключается по старому сертификату, будь то ЦС, или импортированный сертификат шлюза терминалов.

  • Надо пробрасывать. Проверка списков отзыва происходит до подключения через шлюз. Поэтому путь к внутреннему IIS будет недоступен.

    Возможно ли регулировать доверенные отношения клиент-сервер с помощью отзыва сертификатов на сервере шлюза терминалов?

    т.е допустим при смене/отзыве сертификата с шлюза сервера терминалов и публикации нового приходилось бы проделать аналогичную процедуру со стороны клиента.

    на данные момент имеем, что при этой процедуре, на стороне клиента меняется имя шлюза сервера терминалов на новое и далее он спокойно подключается по старому сертификату, будь то ЦС, или импортированный сертификат шлюза терминалов.

    http://technet.microsoft.com/ru-ru/library/cc754010(v=ws.10).aspx

    Клиентские компьютеры должны доверять сертификату. Другими словами, открытый ключ ЦС, подписавшего сертификат сервера Шлюз служб терминалов, должен находиться в хранилище доверенных корневых центров сертификации на клиентском компьютере.

    Если сертификат ЦС находится в доверенных то понятно почему спокойно даёт подключится. В другом случае не должно так быть.

  • Надо пробрасывать. Проверка списков отзыва происходит до подключения через шлюз. Поэтому путь к внутреннему IIS будет недоступен.

    Возможно ли регулировать доверенные отношения клиент-сервер с помощью отзыва сертификатов на сервере шлюза терминалов?


    Вы не теми методами пытаетесь регулировать доступ к терминальному серверу. Используйте либо смарткарты, либо поднимайте vpn до DMZ и подключайте клиентов оттуда.
  • Клиентские компьютеры должны доверять сертификату. Другими словами, открытый ключ ЦС, подписавшего сертификат сервера Шлюз служб терминалов, должен находиться в хранилище доверенных корневых центров сертификации на клиентском компьютере.

    Если сертификат ЦС находится в доверенных то понятно почему спокойно даёт подключится. В другом случае не должно так быть.

    Допустим если клиентский компьютер подписался сертификатом шлюза сервера терминалов? То при отзыве оного на сервере, как ведет себя клиент?

  • Что значит подписался сертификатом? :)

    Если открытого ключа сертификата не будет в доверенных на клиентском компьютере, должна появится ошибка и подключение должно быть отвергнуто.

  • Что значит подписался сертификатом? :)

    Если открытого ключа сертификата не будет в доверенных на клиентском компьютере, должна появится ошибка и подключение должно быть отвергнуто.

    Имел в виду, что сертификат сервера шлюза терминалов, экспортировался и был добавлен на клиенте. 
  • Привет,

    Ошибка появляется при подключений?

    Модератор
  • Привет,

    Ошибка появляется при подключений?

    Привет, ошибки нет. заходит со свистом)
  • тоесть все работает нормально ? если отозвать сертификат, то клиент не сможет подключиться

    Модератор
  • тоесть все работает нормально ? если отозвать сертификат, то клиент не сможет подключиться

    да, работает.

    отозвал сертификат.

    переопубликовал списки отзывов, проверил их доступность(внутренний веб сервер iis), все ок.

    спокойно подключаюсь через шлюз к серверу терминалов. 


    • Изменено BBC2k 21 мая 2013 г. 15:23
  • Узнает в момент подключения. При установлении ssl соединения клиент проверяет CDP который указан в сертификате, соответственно эта ссылка должна бы доступна.

    Да, Вы правы - я забыл, что клиент должен иметь возможность хотя бы раз загрузить CRL (если, коненчо, у него вообще не отключена проверка отзыва).

    Слава России!

    Так вопрос остался открытым, необходимо ли дополнительно пробрасывать порт, для доступности сайта из интернета? или при аутентификации на шлюзе сервера терминалов он пройдет до него по интрасети?
    Если сайт интранетый, то к нему через интернет не будет доступа. То есть не нужно пробрасывать через порт 80

    Модератор

  • Если сайт интранетый, то к нему через интернет не будет доступа. То есть не нужно пробрасывать через порт 80

    А как он узнает о недействительном сертификате?

    Я прописывал DNS, и пинговал по имени сайта - все ок.

  • Пользователь узнает о том, чо у него неправильный сертификат, сразу же, как только шлюз сервера терминалов откажется производить аутентификацию по этому сертификату.

    Шлюз может проверять сертификат на предмет отзыва двумя способами - либо по списку отзыва, либо в оперативном режиме (проткол OCSP). Проверка по списку отзыва производится по его локальной кэшированной копии, которая имеет определенный срок действия (он указывается в настройках ЦС), и в пределах этого срока шлюз имеет право, вообще говоря, эту копию не обновлять - но при желании ее можно периодически обновлять скриптом.

    Доступ к сайту, где опубликованы сертифкаты и списки отзыва, в основном, нужен для загрузки этих списков - по ним клиент проверяет, не отозван ли сертификат шлюза. В некоторых сценариях  (при использовании промежуточного ЦС, например) доступ нужен и для загрузки сертификатов (в частности - сертификата промежуточного ЦС).  В принципе, если отключить проверку отзыва сертифкатов на клиенте или установить очень большой интервал между их выпусками в настройках ЦС, то без доступа снаружи к этому веб-сайту можно вообще обойтись (однако, сразу предупреждаю -  MS такой вариант не одобряет, считается, что он годится для крайне исключительных условий - вроде устранения неисправностей).

    Еще веб-сайт может пригодиться для самостоятельного запроса пользователями сертификатов для себя. Нужно это Вам или нет - решайте сами.


    Слава России!


    Модератор
  • надо проверить, как принудительно проверить списки отзывов? 
  • посмотрите статью по ссылке внизу:

    Certificate Revocation Checking in Windows Vista and Windows Server 2008

    Модератор
  • посмотрите статью по ссылке внизу:

    Certificate Revocation Checking in Windows Vista and Windows Server 2008

    такой момент, после очистки кеша сертификатов, как запросить новые списки отзывов? 

    этого момента я там не нашел.

    ситуация в следующем, выпустили сертификат-отозвали обновили списки отзывов в информации об сертификате он по прежнему действителен. 


  • По факту проверка списка отзыва может быть отключена. Попробуйте на клиентской 7-ке с включенным UAC сделать такое. Если не ошибаюсь там при каждом соединение CRL качается.

  • По факту проверка списка отзыва может быть отключена. Попробуйте на клиентской 7-ке с включенным UAC сделать такое. Если не ошибаюсь там при каждом соединение CRL качается.

    Странно, при первом подключении клиента под Win7 забрил с сообщением об просроченном или отозванном сертификате, при повторном подключении выдал сообщение об непроверенном сертификате. Установил - Зашел.

    Почему не сбрасывается атрибут действия сертификаты при его отзыве ЦС? 

    В GPO проверка списка отзывов включена.

  • Привет посмотрите статьи:

    Manage Certificate Revocation

    Manage Revocation Checking Policy

    Так же советую Вам проверить Ваши настройки сертификатов:

    Active Directory Certificate Services Step-by-Step Guide


    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор
  • Уважаемый пользователь! 
    В вашей теме отсутствует активность в течение последних 5 дней. При отсутствии каких-либо действий в течение 2 последующих дней, тема будет переведена в разряд обсуждений. Вы можете возобновить дискуссию, просто оставив сообщение в данной теме.

    Не забывайте помечать сообщения как ответы и полезные, если они Вам помогли.

    Модератор