| ||||
| ||||
| Кто-нибудь пробовал прикрутить к ISA2004 ГОСТовский(КриптоПро) сертификат в режиме WEB-публикации и настроить авторизацию пользователей на ISA’04 по сертификату???(Не могу прикрутить КриптоПрошный серверный сертификат. Где грабля???) | ||||
| Ответы: | ||||
| ||||
| Нужна более полная информация: - провайдер (номер билда) - более точная формулировка, что именно не работает на ГОСТ сертификатах и одновременно работает на DES, к примеру. Если я правильно понял вопрос, Вы пытаетесь сделать следующее: Есть внутренний вэб-сервер, который отображается на ISA. Соответственно, ISA должен самостоятельно поддерживать аутентификацию вэб-сервера, используя ГОСТ сертификат сервера, сам вэб-сервер никаких сертификатов не имеет. Данный пример на тестах проверялся, проблем с ГОСТ сертификатами не возникло. | ||||
| ||||
| Для установления защищенного соединения между веб-клиентом и сервером ISA 2000 (с 2004 по аналогии) необходимо: 1. Установить КриптоПро CSP и КриптоПро TLS, активировав лицензию. 2. выпустить сертификат открытого ключа, который будет использоваться для серверной аутентификации по протоколу TLS. Требования к сертификату: - имя сертификата (Common name) должно совпадать с именем публикуемого веб-сервера прикладной системы. Например: pif.nikoil.ru - область использования ключа должна содержать «Аутентификация Сервера» Данный сертификат должен быть установлен на сервер ISA со связкой с ключом подписи (секретным ключом). При этом, ключ подписи может быть помещен в машинный реестр. 3. После установки сертификата серверной аутентификации ISA, таким же образом установите сертификат центра сертификации в раздел «Доверенные корневые центры сертификации» хранилища локального компьютера. 4. После установки сертификатов открытых ключей, необходимо установить и настроить Слушателя для внешнего IP адреса сервера (IP адрес сетевого интерфейса, доступного из внешней сети). 5. Для настройки защищенного соединения по протоколу TLS с двухсторонней аутентификации сервера ISA необходимо: · В окне добавления Слушателя или в окне редактировании свойств Слушателя, указать на использование сертификата сервера при аутентификации с веб-клиентом · Выбрать сертификат сервера, который будет использоваться для аутентификации 6. Для публикации веб-сервера во внешнюю сеть необходимо: · Получить и установить на публикуемый веб-сервер сертификат открытого ключа, который будет использоваться для серверной аутентификации. o Требования к сертификату: § Имя сертификата (Common name) должно совпадать с доменным именем веб-сервера, указываемого для редиректа поступающих запросов (закладка Action окна свойств правила веб публикации). Например: epif.big.nikoil.ru § область использования ключа должна содержать «Аутентификация Сервера» · Установить сертификат веб-сервера на сервере ISA, в хранилище локального компьютера (Local Computer certificate stor), раздел «Доверенные корневые центры сертификации» · Настроить веб-сервер для поддержки SSL соединения · Создать и настроить правила публикации на сервере ISA. | ||||
| ||||
| Спасибо всем, кто принял участие в помощи решения данной проблемы(специалистам из КриптоПро). Все "срослось" после нескольких консультаций с КриптоПро и установкой нового билда, также были некоторые ньюансы с SAP порталом, так как его и надо было публиковать... Били некоторые траблы с отображением фреймов, на этом самом SAP портале. Благодаря специалистам из КриптоПро, был доработан софт и результат не заставил себя долго ждать. | ||||
Алексей