none
Один сертификат сервера шлюза терминалов и два домена в трасте. RRS feed

  • Вопрос

  • Добрый день. снова.

    Существует:
    - два домена в доверительных отношениях в разных лесах, соединены по ВПН.
    - домен №1 имеет шлюз терминалов и Центр сертификации, который выдал сертификат для него. dom1.ru. Все это настроено для работы в 1С.
    - домен №2 (сюда планируется перенести сервер 1С) имеет шлюз терминалов и Центр сертификации (пока только с выпущенным корневым сертификатом). dom2.ru
    Вопрос: Можно ли использовать аутентификацию RDP по сертификатам домена №1 и попадать в домен №2 ? и на сколько это логично или нет?
    Или необходимо в домене №2 выпускать свои независимые сертификаты?
    В идеале должно быть так:
    Из вне - пользователь, не завися от домена №1 (есть он или нет) должен по RDP попадать на сервер 1С в домене №2.
    В нутри домена №1 - так же безболезненно пользователь по RDP к 1С в домен №2.

Ответы

  • Инфраструктуру сертификации (PKI) во 2-м домене можно не создавать, а пользоваться инфсраструктурой от первого домена. При недоступности 1-го домена пользователи вполне могут работать со вторым доменом. Наиболее критичным элементом тут является проверка списков отзыва сертификатов (CRL). Если не использовать OCSP, то достаточно разместить одну из точек распространения CRL так, чтобы при недоступности 1-го домена она осталась работоспособной. В частности, для доменных компьютеров для этого достаточно публиковать CRL в AD этого домена.

    PS Если профан - учитесь.

    PPS В качестве мнемонического правила: PKI и аутентификация в домене (в т.ч. - и доверие) практически никак не связаны, если их не связывать специально (федерация, аутентификация по смарт-картам и т.п.)


    Слава России!

Все ответы

  • Я, конечно, не понял, для чего используются сертификаты на шлюзе: только для аутентификации самого шлюза клиентом и защиты сессии, или для аутентификации пользователей тоже.

    Но, в любом случае, можно использовать сертификаты, выданные ЦС из другого домена: технически это не будет отличаться от использования сертификатов, выданных третьей стороной (например, коммерчискм центром сертификации), нужно только добиться, чтобы сертификат корневого ЦС был установлен в хранилище доверенных корневых центров сетрификации у всех клиентов и серверов. Для коммерческих ЦС это делает сама Microsoft, а для собственного ЦС в домене для этого можно использовать средства AD.


    Слава России!

  • Используются сертификаты для аутентификации на шлюза и защиты сессии.

    Пусть я создам в домене #1 сертификат для шлюза домена #2; распространю корневой сертификат #1 домена во #2.

    Нужно ли создавать в домене #2 свой корневой сертификат?

    Удаленным клиентам надо будет распространить и корневой сертификат домена #1 и сертификат шлюза домена #1?

    И главный вопрос при падении домена #1 смогут ли удаленные клиенты подключаться по его сертификатам к домену #2?  не будут ли они зависеть от домена #1?

    И все эти действия не нарушает существующие доверительные отношения между доменами?

    Уф..... как много вопросов.... я профан в сертификации....


    • Изменено LbISbIi 29 мая 2013 г. 6:20
  • Инфраструктуру сертификации (PKI) во 2-м домене можно не создавать, а пользоваться инфсраструктурой от первого домена. При недоступности 1-го домена пользователи вполне могут работать со вторым доменом. Наиболее критичным элементом тут является проверка списков отзыва сертификатов (CRL). Если не использовать OCSP, то достаточно разместить одну из точек распространения CRL так, чтобы при недоступности 1-го домена она осталась работоспособной. В частности, для доменных компьютеров для этого достаточно публиковать CRL в AD этого домена.

    PS Если профан - учитесь.

    PPS В качестве мнемонического правила: PKI и аутентификация в домене (в т.ч. - и доверие) практически никак не связаны, если их не связывать специально (федерация, аутентификация по смарт-картам и т.п.)


    Слава России!

  • Спасибо большое за ответ.
    К настоящему моменту, было решено создать в домене №2 свой центр сертификации и использовать его сертификаты для подключения к шлюзу домена №2. А подключение к домену №1 так и оставили с его сертификатами.