none
Forefront TMG 2010 и корневые доверенные центры сертификации RRS feed

  • Вопрос

  • Добрый день!

    Есть домен на базе Windows Server 2008 R2.

    В качестве прокси-сервера Forefront TMG 2010.

    Столкнулся с проблемой, что клиентские компьютеры не могут получить доступ к корневым доверенным центрам сертификации.

    В ходе решения проблемы логах прокси выявил, что блокировался UserTrust.com.

    Как можно настроить адекватное получение и обновление  корневых, промежуточных и т.д. доверенных центров сертификации?

    7 апреля 2014 г. 14:15

Ответы

  • Самый простой вариант: добавить перед правилом по умолчанию правило, разрешающее протокол HTTP из всех защищенных сетей в сеть Внешняя, а в политике веб-доступа для этого правила указать, что оно применяется только к содержимому (его тип нужно будет создать) включающему следующие типы MIME  (это сертификаты и CRL в различных вариантах):

    application/pkix-cert              
    application/pkix-crl               
    application/x-x509-ca-cert         
    application/x-x509-user-cert      
    application/x-pkcs7-crl           

    application/x-pkcs7-certificates

    Или, как вариант - к расширениям  .cer, .crt, .der, .p7b, .spc, .crl


    Слава России!

    7 апреля 2014 г. 17:24

Все ответы

  • Самый простой вариант: добавить перед правилом по умолчанию правило, разрешающее протокол HTTP из всех защищенных сетей в сеть Внешняя, а в политике веб-доступа для этого правила указать, что оно применяется только к содержимому (его тип нужно будет создать) включающему следующие типы MIME  (это сертификаты и CRL в различных вариантах):

    application/pkix-cert              
    application/pkix-crl               
    application/x-x509-ca-cert         
    application/x-x509-user-cert      
    application/x-pkcs7-crl           

    application/x-pkcs7-certificates

    Или, как вариант - к расширениям  .cer, .crt, .der, .p7b, .spc, .crl


    Слава России!

    7 апреля 2014 г. 17:24
  • не хватает только доступа по ocsp, но TMG тут вам ничего особо предложить не может, кроме как вести списки разрешенных хостов.

    Грамотная постановка вопроса - уже 50% решения. Не забывайте помечать ответы как полезные или как ответ, если они Вам; помогли.

    8 апреля 2014 г. 5:46
  • А если загрузить сертификаты на сервер(прокси, контроллер) и чтобы клиенты обращались к этому серверу?

    Обновление KB931125, исходя из отзывов, на Windows 7 оно работает не корректно, хотя его можно распространять через WSUS, но он его видит как устаревшим.

    Как в корпоративной сети, защищенной прокси сервером, можно адекватно настроить получение сертификатов на клиентские компьютера, если в Windows 7 реализован механизм получения этих сертификатов из интернета...

    8 апреля 2014 г. 15:04
  • Во-первых, вам нужны не столько сертификаты  (промежуточных выпускающих центров сертификации, они завереенные предустановленными корневыми ЦС ), сколько списки отзыва сертификатов.

    Во-вторых, если сертификаты действуют довольно долго и их имеет смысл загрузить и распространять другими средсвами (только не через прокси, а через групповую политику AD), то списки отзыва обычно имеют короткий срок действия и смысла их куда-либо загружать нет.

    В-третьих, адреса (точнее - URL), откуда можно получить списки отзыва (CRL) или сертификат выпускающего ЦС (AIA) указываются в самих сертификатах. Потому изменить эти адреса нельзя. Можно, конечно, перенаправить соответствующие URL на прокси-сервере в другое место, но это - мартышкин труд: просмотреть все сертификаты, выбрать значения соответствующих расширений и написать правила перенаправления, закачать сертификаты/CRL, организовать закачку обновлений CRL...

    Проще уж открыть в таком случае свободный доступ в интернет по всем выявленым таким образом URL.


    Слава России!

    8 апреля 2014 г. 20:04
  • Если web-ресурс решил сменить сертификат, то пользователи не смогут работать, пока не одобрить URL нового сертификата? Интересный подход.

    Так как все-таки работать в корпоративной сети?

    9 апреля 2014 г. 6:36
  • Какой такой ещё URL нового сертификата?

    URL точки распространения списков отзыва и точки доступа к информации о центре сертификации -они относятся к  ЦС (в MS-овской реализации, например - указываются в свойствах ЦС).

    Короче, чтобы рабтать в корпоративной сети у вас есть, минимум, два варианта - разрешить доступ по типу содержимого либо разрешать доступ к отдельным URL по мере их обнаружения. Выбирайте.


    Слава России!

    9 апреля 2014 г. 10:26
  • Варианты:

     - разрешить доступ по типу содержимого - это можно реализовать используя Forefront TMG 2010, в случае сторонних данный вариант не подходит.

     - разрешать доступ к отдельным URL - как вариант, но в случае добавления/замены/обновления сертификата на web-ресурсе возможен простой = времени создания разрешающего правила на прокси.

    Обновление KB931125 - будет еще поддерживаться или это не панацея в данном вопросе?

    9 апреля 2014 г. 13:06