none
RDS и Центр сертификации. Проверка подлинности на уровне сети. Ошибка "Не удалось проверить не был ли отозван этот сертификат" RRS feed

  • Вопрос

  • Пробуем настроить проверку подлинности на уровне сети для терминального сервера (по статье http://interface31.ru/tech_it/2010/11/zashhita-rdp-soedineniya-pri-pomoshhi-ssl.html)

    Терминальный сервер и автономный центр сертификации одна и та же машина. AD нет.

    После всех действий сохраняется ошибка при подключении:

    Сертификат ЦС на клиентском ПК добавлен в Хранилище компьютера "Доверенные корневые центры сертификации".

    И еще вопрос: можно ли настроить RDS так, чтобы подключение было невозможно, если есть какие-либо ошибки сертификата? В настройках rdp подключения на клиенте можно указать "Не соединять", а есть ли способ сделать это со стороны терминального сервера?

    24 октября 2012 г. 13:43

Ответы

  • Да. Пришли к тому же сами))

    Почему-то не стояла галочка "Включать в CDP-расширение выданных сертификатов" для http на вкладке Расширения. Как поставили, заработало как надо.

    А файл file://nitrix-server/CertEnroll/NITRIX-SERVER-CA.crl с клиента доступен, но проблема оставалась. Вот только это непонятно почему.

    • Помечено в качестве ответа Vinokurov Yuriy 26 октября 2012 г. 6:17
    25 октября 2012 г. 14:34

Все ответы

  • покажите cdp сертификата?

    >> И еще вопрос: можно ли настроить RDS так, чтобы подключение было невозможно, если есть какие-либо ошибки сертификата?

    так настроить нельзя - это решение клиента доверять серверу или нет, аналогично с доверием к https сайтам - всегда можно проигнорить предупреждение

    24 октября 2012 г. 14:35
    Модератор
  • Как это правильно сделать?

    при выполнении на клиенте команды certutil -verify -urlfetch C:\certnew.cer для сертификата ЦС получаю следующий результат:

    Поставщик:
        CN=NITRIX-SERVER-CA
      Хэш имени (sha1): c3eea829304e0d2d0d89a6cb9f4fee5c8df1151e
      Хэш имени (md5): c0a0560ba792702c9f78d159a051bfa7
    Субъект:
        CN=NITRIX-SERVER-CA
      Хэш имени (sha1): c3eea829304e0d2d0d89a6cb9f4fee5c8df1151e
      Хэш имени (md5): c0a0560ba792702c9f78d159a051bfa7
    Серийный номер сертификата: 71ed0e9bc191ddb748eeb2162452d4a6

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwErrorStatus = CERT_TRUST_IS_UNTRUSTED_ROOT (0x20)

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwErrorStatus = CERT_TRUST_IS_UNTRUSTED_ROOT (0x20)

    CertContext[0][0]: dwInfoStatus=10c dwErrorStatus=20
      Issuer: CN=NITRIX-SERVER-CA
      NotBefore: 23.10.2012 18:06
      NotAfter: 23.10.2017 18:16
      Subject: CN=NITRIX-SERVER-CA
      Serial: 71ed0e9bc191ddb748eeb2162452d4a6
      92 43 87 5e 09 1a c5 f0 2c 97 fe 59 be ea 03 10 9f fe f0 e0
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      Element.dwErrorStatus = CERT_TRUST_IS_UNTRUSTED_ROOT (0x20)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      da 39 a3 ee 5e 6b 4b 0d 32 55 bf ef 95 60 18 90 af d8 07 09
    Full chain:
      92 43 87 5e 09 1a c5 f0 2c 97 fe 59 be ea 03 10 9f fe f0 e0
      Issuer: CN=NITRIX-SERVER-CA
      NotBefore: 23.10.2012 18:06
      NotAfter: 23.10.2017 18:16
      Subject: CN=NITRIX-SERVER-CA
      Serial: 71ed0e9bc191ddb748eeb2162452d4a6
      92 43 87 5e 09 1a c5 f0 2c 97 fe 59 be ea 03 10 9f fe f0 e0
    Цепочка сертификатов обработана, но обработка прервана на корневом сертификате, у которого отсутствует отношение доверия с поставщиком доверия. 0x800b0109 (-2146762487)
    ------------------------------------
    Проверка через НЕ ДОВЕРЕННЫЙ корень
    Сертификат является сертификатом ЦС
    Не удалось проверить состояние отзыва сертификата
    CertUtil: -verify — команда успешно выполнена.

    25 октября 2012 г. 6:37
  • судя по всему cdp вообще не опубликованы.
    нажми на кнопку "просмотреть сертификат" и там среди свойств найди точки распространения (не помню точно как на русском)
    25 октября 2012 г. 8:25
    Модератор
  • То ли не туда смотрю, то ли их там просто нет.

    Просматриваю на клиенте свойства сертификата ЦС, который лежит в хранилище компьютера "Доверенные корневые центры сертификации"

    остальные свойства:

    25 октября 2012 г. 8:38
  • не, корневой не надо, у корневого нет cdp. надо тот который в свойствах соединения терминального севрера выставлен, с именем nitrix-server

    25 октября 2012 г. 8:51
    Модератор
  • Причем файл по этому пути с клиента доступен и я могу его открыть и просмотреть, на вкладке Список отзыва, естественно нет ни одного отозванного сертификата:

    Попробовал экспортировать этот сертификат nitrix-server и запустить для него  certutil -verify -urlfetch, получил такой ответ. Курсивом выделил настораживающие строки.

    Поставщик:
        CN=NITRIX-SERVER-CA
    Субъект:
        E=astvas@gmail.com
        CN=nitrix-server
        OU=IT
        O=nitrix
        L=stavropol
        S=SK
        C=RU
    Серийный номер сертификата: 61120647000000000002

    dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
    dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
    ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN_EXCLUDE_ROOT (0x40000000)
    HCCE_LOCAL_MACHINE
    CERT_CHAIN_POLICY_BASE
    -------- CERT_CHAIN_CONTEXT --------
    ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
    ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

    SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
    SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
    SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

    CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
      Issuer: CN=NITRIX-SERVER-CA
      NotBefore: 24.10.2012 15:53
      NotAfter: 24.10.2013 16:03
      Subject: E=astvas@gmail.com, CN=nitrix-server, OU=IT, O=nitrix, L=stavropol, S=SK, C=RU
      Serial: 61120647000000000002
      da 92 7c c5 1d 36 73 29 5c 61 5c ae 6a 13 25 a3 75 23 40 8f
      Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
      Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
      ----------------  Сертификат AIA  ----------------
      Ошибка "AIA" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://nitrix-server/CertEnroll/nitrix-server_NITRIX-SERVER-CA.crt

      ----------------  Сертификат CDP  ----------------
      Ошибка "CDP" Время: 0
        Ошибка при получении URL: Такой запрос не поддерживается. 0x80070032 (WIN32: 50)
        file://nitrix-server/CertEnroll/NITRIX-SERVER-CA.crl

      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------
      Application[0] = 1.3.6.1.5.5.7.3.1 Проверка подлинности сервера

    CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
      Issuer: CN=NITRIX-SERVER-CA
      NotBefore: 24.10.2012 15:47
      NotAfter: 24.10.2017 15:57
      Subject: CN=NITRIX-SERVER-CA
      Serial: 1b10983a49c920ad47b1dafe9ddfa7d1
      df e6 d0 dd c5 74 fc f2 8f 1a 6f b9 11 ad 3c 23 bb b5 70 9d
      Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
      Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
      Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
      ----------------  Сертификат AIA  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  Сертификат CDP  ----------------
      Отсутствуют URL "Нет" Время: 0
      ----------------  OCSP сертификата  ----------------
      Отсутствуют URL "Нет" Время: 0
      --------------------------------

    Exclude leaf cert:
      da 92 7c c5 1d 36 73 29 5c 61 5c ae 6a 13 25 a3 75 23 40 8f
    Full chain:
      8f 43 be 99 e9 ae a6 40 82 7a 03 51 ac 4e a1 81 9f 4e 10 0f
      Issuer: CN=NITRIX-SERVER-CA
      NotBefore: 24.10.2012 15:53
      NotAfter: 24.10.2013 16:03
      Subject: E=astvas@gmail.com, CN=nitrix-server, OU=IT, O=nitrix, L=stavropol, S=SK, C=RU
      Serial: 61120647000000000002
      da 92 7c c5 1d 36 73 29 5c 61 5c ae 6a 13 25 a3 75 23 40 8f
    Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)
    ------------------------------------
    Проверка списка отзыва пропущена -- сервер отключен или вне сети
    Сертификат является сертификатом конечного субъекта

    ОШИБКА: проверка состояния отзыва сертификата вернула Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613)
    CertUtil: Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен .

    CertUtil: -verify - команда успешно выполнена.

     
    25 октября 2012 г. 12:02
  • ну судя по всему точка публикации смотрит на \\nitrix-server\certenroll что не очень хорошо в общем случае. этот путь доступен с клиента?
    crl лучше публиковать по http, это универсальный способ позволяющий клиентам скачивать crl независимо от того внутри они сети или снаружи. точки публикации задаются в mmc certification authority, свойства сервера, вкладка extentions
    советую почитать http://www.sysadmins.lv/PermaLink,guid,9beb4f0a-38a8-42b2-9a49-141c04fbdcd8.aspx

    25 октября 2012 г. 14:15
    Модератор
  • Да. Пришли к тому же сами))

    Почему-то не стояла галочка "Включать в CDP-расширение выданных сертификатов" для http на вкладке Расширения. Как поставили, заработало как надо.

    А файл file://nitrix-server/CertEnroll/NITRIX-SERVER-CA.crl с клиента доступен, но проблема оставалась. Вот только это непонятно почему.

    • Помечено в качестве ответа Vinokurov Yuriy 26 октября 2012 г. 6:17
    25 октября 2012 г. 14:34
  • а есть ли способ сделать это со стороны терминального сервера?

    Можно сделать через групповые политики: Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Службы удаленных рабочих столов - Клиент подключения к удаленному рабочему столу - Настройка проверки подлинности клиента на сервере.

    MCSA: Messaging

    18 июня 2013 г. 15:27