none
Сертификат для SSTP за NAT RRS feed

  • Вопрос

  • Приветствую!

    Настроил SSTP сервер внутри корпоративной сети. Сервер имеет сертификат выданные нашим СА. Соединения на  SSTP сервер попадают через проброшенный порт с маршрутизатора. При подключении клиенты выдают ошибку 0x800B010F и это понятно - сервер имеет сертификат в котором CN это внутреннее доменное имя.

    Вопрос - как выдать SSTP серверу сертификат, который имеет CN равное нашему внешнему адресу?


    23 августа 2013 г. 9:43

Ответы

  • Проверил ссылки в CDP - установлено все 3 птички. Добавил внешний адрес для AIA, установил обе птички. Выпустил новый сертификат. Скоировал его на удаленную машину, проверяю.

    Проверки проходят, но сервер не отвечает. Мистика какая-то :-(

    В сертификате выпускающего ЦС SRV-CA-00 у Вас отсутствует доступная внешнему клиенту (т.е. по протоколу HTTP) точка распространения списков отзыва (CDP).  Вероятная причина проблемы - в этом.

    Ну и, до кучи (хотя в данном случае это некритично), в этом сертификате отсутствует доступ к инфорации о центре сертифкации (AIA) по протоколу HTTP. Аналогично (и это более критично, т.к. потребует впоследствии ручной установки сертификата выпускающего ЦС), остутствует доступ к информации о центре сертификации в сертификате для сервера SSTP.

    Исправьте настройки в корневом ЦС SRV-CATROOT-00 (добавьте туда точки доступа по протоколу HTTP для AIA и CDP, выложьте, если нужно файлы с CRL и сертификатами ЦС в место, доступное по HTTP, заодно уберите публикацию точек доступа (но не сами точки) по протоколу file), перевыпустите сертификат и, если перевыпустили сертифкат ЦС c новым ключом (либо хотите исправить его AIA), - и сертификат сервера SSTP.

    Ну, и до кучи - у вас там странная ошибка по поводу OCSP в сертификате сервера SSTP, полученном от выпускающего ЦС (хотя вроде она ничему не мешает). Если вы OCSP не используете, то проверьте, что никаких хвостов настройки от него не осталось (и перевыпустите сертификат сервера SSTP, если что-то поменяли).


    Слава России!

    24 августа 2013 г. 19:43
  • Думаю, проблема была в том, что у меня два уровня СА, SSTP проверяет всю цепочку, а я копался только во втором уровне.

    Как решил - зашел в свойства RootCA, там добавил в Расширения свой внешний адрес аналогично настройке СА второго уровня. Скопировал с RootCA сертификат и список отзыва на вебсервер CA второго уровня. Перевыпустил сертификат СА второго уровня и сертификат SSTP. Теперь у меня по одному адресу из интернет доступны оба списка отзыва.

    Прошел проверку и смог подключиться к SSTP серверу.

    Конечно, для постороннего компа, который вне домена, я импортировал оба сертификата, от обоих своих CA.

    Пожалуйста, посмотрите результат проверки, возможно есть еще какие-то ошибки?

    Поставщик:
        CN=SRV-CA-00
        DC=xxx
        DC=xxx
    Субъект:
        CN=donapex.b19.su
        OU=xxx
        O=xxx
        C=xxx
    Серийный номер сертификата: 1d05657a0002000001dc
    
    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 41 Minutes, 12 Seconds
    
    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 41 Minutes, 12 Seconds
    
    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=SRV-CA-00, DC=blg, DC=local
      NotBefore: 24.08.2013 22:20
      NotAfter: 24.08.2014 22:07
      Subject: CN=donapex.b19.su, OU=iT, O=BLG, C=UA
      Serial: 1d05657a0002000001dc
      Template: 1.3.6.1.4.1.311.21.8.5822325.11280594.1789369.1083600.12612917.100.15060133.12569924
      ea 44 7c 93 4e 08 36 fb 3b 89 32 11 d7 08 9a d4 01 91 4c 79
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?cACertificate?base?objectClass=certificationAuthority
    
      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00(2),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
    
      Проверено "Базовый CRL (08)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CA-00(2).crl
    
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        [1.0.0] ldap:///CN=SRV-CA-00(2),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
    
      Проверено "Разностный CRL (08)" Время: 0
        [1.0.1] http://donapex.b19.su/CertEnroll/SRV-CA-00(2)+.crl
    
      ----------------  Базовый CRL CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00(2),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
    
      ОК "Разностный CRL (08)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CA-00(2)+.crl
    
      ----------------  OCSP сертификата  ----------------
      Ошибка "Протокол OCSP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
        http://donapex.b19.su/CertEnroll/srv-ca-00.blg.local_SRV-CA-00(2).crt
    
      --------------------------------
        CRL 08:
        Issuer: CN=SRV-CA-00, DC=blg, DC=local
        96 f2 0b e6 15 32 f8 cf 3b 8b 24 99 84 52 76 3a 35 ba 00 de
        Delta CRL 08:
        Issuer: CN=SRV-CA-00, DC=blg, DC=local
        72 01 53 9d 42 8a 38 37 30 e1 42 af 0e 2b 64 9e e5 91 82 b8
      Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
      Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
    
    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=SRV-CAROOT-00
      NotBefore: 24.08.2013 21:57
      NotAfter: 24.08.2014 22:07
      Subject: CN=SRV-CA-00, DC=blg, DC=local
      Serial: 61085ed1000000000004
      Template: SubCA
      10 0f ee 5b 6d 20 b4 91 53 88 e9 14 ff 8d 85 5a 8f 98 42 14
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://srv-caroot-00/CertEnroll/srv-caroot-00_SRV-CAROOT-00.crt
    
      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://srv-caroot-00/CertEnroll/SRV-CAROOT-00.crl
    
      Проверено "Базовый CRL (02)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CAROOT-00.crl
    
      ----------------  Базовый CRL CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Ошибка "Протокол OCSP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
        http://donapex.b19.su/CertEnroll/srv-caroot-00_SRV-CAROOT-00.crt
    
      --------------------------------
        CRL 02:
        Issuer: CN=SRV-CAROOT-00
        78 4e 02 c2 23 82 a5 d2 e6 6c ec 03 02 64 b9 40 a0 46 4c 9f
    
    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=SRV-CAROOT-00
      NotBefore: 21.08.2013 10:37
      NotAfter: 21.08.2018 10:47
      Subject: CN=SRV-CAROOT-00
      Serial: 4c824a1d14e486994c29a999f3b87667
      b2 42 f0 84 57 24 67 0f a0 a1 be a0 75 ca 1d 3b c2 54 ce 64
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
    
    Exclude leaf cert:
      ab 71 d4 b0 3a 43 38 4d d3 f9 53 f7 2e 3f 0f 02 6e d4 86 1c
    Full chain:
      77 9b 47 8c 26 b1 bc 7d e5 a5 ae b7 c3 0a d5 a8 5e 6e fa b4
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
        1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.




    • Изменено miasik 24 августа 2013 г. 20:00
    • Помечено в качестве ответа miasik 25 августа 2013 г. 18:50
    24 августа 2013 г. 19:57

Все ответы

  • Разобрался с созданием сертификата с заданным CN, но вылезла другая проблема.

    Через mmc создаю запрос, подтверждаю запрос на СА. В сертификате, который появляется на СА - все в порядке. Но в сертификате, который появляется на SSTP сервере сервер авторизации прописан как необходимый мне CN. Т.е. сертификат выглядит как самоподписанный.

    Почему так происходит?

    Как создать сертификат с заданным CN, но с нашим внутренним СА?

    23 августа 2013 г. 11:52
  • Где смотрите, что он самоподписанный. Смотрите на вкладке "Цепочка сертификации".


    Слава России!

    23 августа 2013 г. 13:18
  • Создание сертификата поборол, получил сертификат с нужным CN и нашим внутренним CA.

    Возникла другая проблема. При подключении получаю ошибку 0x80092013. При этом список отзыва доступен через интернет, если открыть адрес в браузере. SSTP серверу назначен именно этот сертификат. На маршрутизаторе, который принимает подключения из интернет, проброшен 443 порт на SSTP сервер и 80 порт на CA. При этом, ни разу не видел обращения к 80 порту при попытках подключения, обращения только на 443.


    • Изменено miasik 24 августа 2013 г. 6:22
    24 августа 2013 г. 6:21
  • В браузере по указанному (замазанному) URL CRL открывается?


    Слава России!

    24 августа 2013 г. 9:49
  • Да, открывается. Проверил тремя браузерами.
    24 августа 2013 г. 10:05
  • Проверяли снаружи? Клиент ведь снаружи проверять будет.


    Слава России!

    24 августа 2013 г. 11:29
  • Конечно снаружи! Вот http://donapex b19 su/CertEnroll/srv-ca-00%281%29 crl только вместо пробелов точки

    Меня смущает то, что нет обращений на 80 порт маршрутизатора при установке соединения. По описанию туда от меня должен приходить запрос на CRL. Подключение на 443 вижу, на 80 нет.


    • Изменено miasik 24 августа 2013 г. 11:58
    24 августа 2013 г. 11:58
  • В самом CRL в расширении CDP почему-то нет URL для протокола HTTP (только для LDAP в AD).

    Проверьте, установлена ли галка "Включить в CRL..." для этого CDP URL  (на вкладке Расширения свойств ЦС). Если не установлена - установите ее. И, в любом случае, перевыпутстите CRL.


    Слава России!

    24 августа 2013 г. 15:33
  • Проверил ссылки в CDP - установлено все 3 птички. Добавил внешний адрес для AIA, установил обе птички. Выпустил новый сертификат. Скоировал его на удаленную машину, проверяю.

    Проверки проходят, но сервер не отвечает. Мистика какая-то :-(

    Поставщик:
        CN=SRV-CA-00
        DC=xxx
        DC=xxx
    Субъект:
        CN=donapex.b19.su
    Серийный номер сертификата: 1c58d0880001000001da
    
    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
    ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
    
    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
    SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
    
    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=SRV-CA-00, DC=blg, DC=local
      NotBefore: 24.08.2013 19:11
      NotAfter: 21.08.2014 13:02
      Subject: CN=donapex.b19.su
      Serial: 1c58d0880001000001da
      Template: 1.3.6.1.4.1.311.21.8.5822325.11280594.1789369.1083600.12612917.100.15060133.12569924
      33 ed 5e 42 fd ce c1 f3 bc 27 0a e4 63 b4 68 63 25 95 0a 37
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?cACertificate?base?objectClass=certificationAuthority
    
      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00(1),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
    
      Проверено "Базовый CRL (07)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CA-00(1).crl
    
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        [1.0.0] ldap:///CN=SRV-CA-00(1),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
    
      Проверено "Разностный CRL (07)" Время: 0
        [1.0.1] http://donapex.b19.su/CertEnroll/SRV-CA-00(1)+.crl
    
      ----------------  Базовый CRL CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00(1),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
    
      ОК "Разностный CRL (07)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CA-00(1)+.crl
    
      ----------------  OCSP сертификата  ----------------
      Ошибка "Протокол OCSP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
        http://donapex.b19.su/CertEnroll/srv-ca-00.blg.local_SRV-CA-00(1).crt
    
      --------------------------------
        CRL 07:
        Issuer: CN=SRV-CA-00, DC=blg, DC=local
        f2 34 f6 3d ae c0 69 b5 6e 7f 2c f2 27 9d b9 e4 6b 2d 6e c5
        Delta CRL 07:
        Issuer: CN=SRV-CA-00, DC=blg, DC=local
        1a e8 97 2d 9c 68 5b 95 01 ea c4 fc 59 6b 00 0a fc 6b 70 13
      Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
      Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
    
    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=1000040
      Issuer: CN=SRV-CAROOT-00
      NotBefore: 21.08.2013 12:52
      NotAfter: 21.08.2014 13:02
      Subject: CN=SRV-CA-00, DC=blg, DC=local
      Serial: 6108a765000000000003
      Template: SubCA
      99 71 43 e4 dd 8e 0e 96 ef af eb 2f 79 78 fa 24 04 5d 52 e2
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
      Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://srv-caroot-00/CertEnroll/srv-caroot-00_SRV-CAROOT-00.crt
    
      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://srv-caroot-00/CertEnroll/SRV-CAROOT-00.crl
    
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
    
    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=SRV-CAROOT-00
      NotBefore: 21.08.2013 10:37
      NotAfter: 21.08.2018 10:47
      Subject: CN=SRV-CAROOT-00
      Serial: 4c824a1d14e486994c29a999f3b87667
      b2 42 f0 84 57 24 67 0f a0 a1 be a0 75 ca 1d 3b c2 54 ce 64
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
    
    Exclude leaf cert:
      93 d7 cc 90 99 aa b0 bb 13 d1 9f 07 27 fe 56 a8 9e 1b 74 b0
    Full chain:
      95 40 42 0f fd 90 fd 51 fa 28 92 de 4c 59 e9 86 ac 8c c9 01
      Issuer: CN=SRV-CA-00, DC=blg, DC=local
      NotBefore: 24.08.2013 19:11
      NotAfter: 21.08.2014 13:02
      Subject: CN=donapex.b19.su
      Serial: 1c58d0880001000001da
      Template: 1.3.6.1.4.1.311.21.8.5822325.11280594.1789369.1083600.12612917.100.15060133.12569924
      33 ed 5e 42 fd ce c1 f3 bc 27 0a e4 63 b4 68 63 25 95 0a 37
    Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)
    ------------------------------------
    Проверка списка отзыва пропущена -- сервер отключен или вне сети
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.


    • Изменено miasik 24 августа 2013 г. 20:02
    24 августа 2013 г. 16:32
  • Посмотрите статью http://websphere.novsu.ac.ru/course/portal/InfoCenter_ru/wpf/cfg_dom_ssl.html

    Дополнительно, если это Ваших рук дело:


    Да, я Жук, три пары лапок и фасеточные глаза :))


    24 августа 2013 г. 17:59
    Модератор
  • Посмотрите статью http://websphere.novsu.ac.ru/course/portal/InfoCenter_ru/wpf/cfg_dom_ssl.html

    Дополнительно, если это Ваших рук дело:


    Да, я Жук, три пары лапок и фасеточные глаза :))


    1. Про статью: LDAP не нужен (конкретно тут, естественно). Клиент вполне может (а внешний клиент - должен) получать CRL с точки распространения на веб-сервере. Поэтому статья тут так - чисто для общего образования.

    2. Про ошибку сертификата: Вы ведь наверняка сертификат ЦС автора вопроса не установили себе в доверенные корнеые центры сертификации (UPD: и сертификат выпускающего ЦС в промежуточные), прежде чем проверять. Скорее всего, не установили (что ожидаемо - у него AIA недоступны извне). Естественно, будет ошибка пути сертификации. А у автора вопроса - не будет: у него все эти сертификаты уже стоят.


    Слава России!


    • Изменено M.V.V. _ 24 августа 2013 г. 19:48
    24 августа 2013 г. 19:00
  • Проверил ссылки в CDP - установлено все 3 птички. Добавил внешний адрес для AIA, установил обе птички. Выпустил новый сертификат. Скоировал его на удаленную машину, проверяю.

    Проверки проходят, но сервер не отвечает. Мистика какая-то :-(

    В сертификате выпускающего ЦС SRV-CA-00 у Вас отсутствует доступная внешнему клиенту (т.е. по протоколу HTTP) точка распространения списков отзыва (CDP).  Вероятная причина проблемы - в этом.

    Ну и, до кучи (хотя в данном случае это некритично), в этом сертификате отсутствует доступ к инфорации о центре сертифкации (AIA) по протоколу HTTP. Аналогично (и это более критично, т.к. потребует впоследствии ручной установки сертификата выпускающего ЦС), остутствует доступ к информации о центре сертификации в сертификате для сервера SSTP.

    Исправьте настройки в корневом ЦС SRV-CATROOT-00 (добавьте туда точки доступа по протоколу HTTP для AIA и CDP, выложьте, если нужно файлы с CRL и сертификатами ЦС в место, доступное по HTTP, заодно уберите публикацию точек доступа (но не сами точки) по протоколу file), перевыпустите сертификат и, если перевыпустили сертифкат ЦС c новым ключом (либо хотите исправить его AIA), - и сертификат сервера SSTP.

    Ну, и до кучи - у вас там странная ошибка по поводу OCSP в сертификате сервера SSTP, полученном от выпускающего ЦС (хотя вроде она ничему не мешает). Если вы OCSP не используете, то проверьте, что никаких хвостов настройки от него не осталось (и перевыпустите сертификат сервера SSTP, если что-то поменяли).


    Слава России!

    24 августа 2013 г. 19:43
  • Установите предлагаемый Вами сертификат в Доверенные корневые центры сертификации, и проверьте в браузере, Вы будете приятно удивлены ;)

    Да, я Жук, три пары лапок и фасеточные глаза :))

    24 августа 2013 г. 19:52
    Модератор
  • Да, я уже понял, что там дело не только в этом, и поправил предыдущее собщение. А в чем именно - см. мое сообщение сразу после него.


    Слава России!

    24 августа 2013 г. 19:55
  • Думаю, проблема была в том, что у меня два уровня СА, SSTP проверяет всю цепочку, а я копался только во втором уровне.

    Как решил - зашел в свойства RootCA, там добавил в Расширения свой внешний адрес аналогично настройке СА второго уровня. Скопировал с RootCA сертификат и список отзыва на вебсервер CA второго уровня. Перевыпустил сертификат СА второго уровня и сертификат SSTP. Теперь у меня по одному адресу из интернет доступны оба списка отзыва.

    Прошел проверку и смог подключиться к SSTP серверу.

    Конечно, для постороннего компа, который вне домена, я импортировал оба сертификата, от обоих своих CA.

    Пожалуйста, посмотрите результат проверки, возможно есть еще какие-то ошибки?

    Поставщик:
        CN=SRV-CA-00
        DC=xxx
        DC=xxx
    Субъект:
        CN=donapex.b19.su
        OU=xxx
        O=xxx
        C=xxx
    Серийный номер сертификата: 1d05657a0002000001dc
    
    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwRevocationFreshnessTime: 41 Minutes, 12 Seconds
    
    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwRevocationFreshnessTime: 41 Minutes, 12 Seconds
    
    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=SRV-CA-00, DC=blg, DC=local
      NotBefore: 24.08.2013 22:20
      NotAfter: 24.08.2014 22:07
      Subject: CN=donapex.b19.su, OU=iT, O=BLG, C=UA
      Serial: 1d05657a0002000001dc
      Template: 1.3.6.1.4.1.311.21.8.5822325.11280594.1789369.1083600.12612917.100.15060133.12569924
      ea 44 7c 93 4e 08 36 fb 3b 89 32 11 d7 08 9a d4 01 91 4c 79
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00,CN=AIA,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?cACertificate?base?objectClass=certificationAuthority
    
      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00(2),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?certificateRevocationList?base?objectClass=cRLDistributionPoint
    
      Проверено "Базовый CRL (08)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CA-00(2).crl
    
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        [1.0.0] ldap:///CN=SRV-CA-00(2),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
    
      Проверено "Разностный CRL (08)" Время: 0
        [1.0.1] http://donapex.b19.su/CertEnroll/SRV-CA-00(2)+.crl
    
      ----------------  Базовый CRL CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Сетевой ресурс или устройство более недоступно. 0x80070037 (WIN32: 55)
        ldap:///CN=SRV-CA-00(2),CN=srv-ca-00,CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=blg,DC=local?deltaRevocationList?base?objectClass=cRLDistributionPoint
    
      ОК "Разностный CRL (08)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CA-00(2)+.crl
    
      ----------------  OCSP сертификата  ----------------
      Ошибка "Протокол OCSP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
        http://donapex.b19.su/CertEnroll/srv-ca-00.blg.local_SRV-CA-00(2).crt
    
      --------------------------------
        CRL 08:
        Issuer: CN=SRV-CA-00, DC=blg, DC=local
        96 f2 0b e6 15 32 f8 cf 3b 8b 24 99 84 52 76 3a 35 ba 00 de
        Delta CRL 08:
        Issuer: CN=SRV-CA-00, DC=blg, DC=local
        72 01 53 9d 42 8a 38 37 30 e1 42 af 0e 2b 64 9e e5 91 82 b8
      Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
      Application[1] = 1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
    
    CertContext[0][1]: dwInfoStatus=102 dwErrorStatus=0
      Issuer: CN=SRV-CAROOT-00
      NotBefore: 24.08.2013 21:57
      NotAfter: 24.08.2014 22:07
      Subject: CN=SRV-CA-00, DC=blg, DC=local
      Serial: 61085ed1000000000004
      Template: SubCA
      10 0f ee 5b 6d 20 b4 91 53 88 e9 14 ff 8d 85 5a 8f 98 42 14
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://srv-caroot-00/CertEnroll/srv-caroot-00_SRV-CAROOT-00.crt
    
      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://srv-caroot-00/CertEnroll/SRV-CAROOT-00.crl
    
      Проверено "Базовый CRL (02)" Время: 0
        [1.0] http://donapex.b19.su/CertEnroll/SRV-CAROOT-00.crl
    
      ----------------  Базовый CRL CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Ошибка "Протокол OCSP" Время: 0
        Ошибка при получении URL: Ошибка 0x80190195 (-2145844843)
        http://donapex.b19.su/CertEnroll/srv-caroot-00_SRV-CAROOT-00.crt
    
      --------------------------------
        CRL 02:
        Issuer: CN=SRV-CAROOT-00
        78 4e 02 c2 23 82 a5 d2 e6 6c ec 03 02 64 b9 40 a0 46 4c 9f
    
    CertContext[0][2]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=SRV-CAROOT-00
      NotBefore: 21.08.2013 10:37
      NotAfter: 21.08.2018 10:47
      Subject: CN=SRV-CAROOT-00
      Serial: 4c824a1d14e486994c29a999f3b87667
      b2 42 f0 84 57 24 67 0f a0 a1 be a0 75 ca 1d 3b c2 54 ce 64
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
    
    Exclude leaf cert:
      ab 71 d4 b0 3a 43 38 4d d3 f9 53 f7 2e 3f 0f 02 6e d4 86 1c
    Full chain:
      77 9b 47 8c 26 b1 bc 7d e5 a5 ae b7 c3 0a d5 a8 5e 6e fa b4
    ------------------------------------
    Проверенные политики выдачи: Нет
    Проверенные политики применения:
        1.3.6.1.5.5.7.3.1 Проверка подлинности сервера
        1.3.6.1.5.5.7.3.2 Проверка подлинности клиента
    Проверка отзыва сертификата выполнена
    CertUtil: -verify - команда успешно выполнена.




    • Изменено miasik 24 августа 2013 г. 20:00
    • Помечено в качестве ответа miasik 25 августа 2013 г. 18:50
    24 августа 2013 г. 19:57
  • Да, все правильно - я написал чуть выше именно об ошибке в CDP для промежуточного ЦС.

    Остался только хвост от OCSP (я про него уже писал). Ну, и публикация точек доступа по протколу файл (которая может использоваться только самим ЦС для публикации CRL и AIA, но не клиентом для их загрузки) на корневом ЦС. Если не мешает, можно и не трогать.

    PS При правильно настроенных AIA вручную нужно импортировать только корневой сертификат: промежуточный он должен находить и загружать сам.


    Слава России!

    24 августа 2013 г. 20:08
  • Поздравляю!!!

    Проверка Вашего сертификата с моей стороны, как стороннего и внешнего Пользователя, завершилась с результатом Успех:

    Осталось причесать ошибки на которые выше указывал M.V.V. _.


    Да, я Жук, три пары лапок и фасеточные глаза :))



    24 августа 2013 г. 20:19
    Модератор
  • Охренеть! У меня получилось сделать так, что автоматически подтянулись все сертификаты?
    24 августа 2013 г. 20:24
  • Вы еще ответ, который Вам помог отметьте, и вообще вселенское счастье и справедливость наступит.
    • Изменено Dmitriy RazbornovEditor 26 августа 2013 г. 4:50 восстановил статус-кво
    25 августа 2013 г. 16:45
    Отвечающий