Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Да сертификат с галкой и он у меня один. И на сервере и на клиенте Отредактировано пользователем 6 августа 2014 г. 11:47:02(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Автор: Dim Да сертификат с галкой и он у меня один. И на сервере и на клиенте 1) Если на других сертификатах работоспособность доказана — то дело, с большой вероятностью, не в настройках IPsec 2) Возможно стоит посмотреть в сторону политики IPSec CRL checking (StrongCRLCheck): http://technet.microsoft.com/en-us/library/cc759130(v=ws.10).aspxMicrosoft коротко написал:netsh ipsec dynamic set config strongcrlcheck value={0 | 1 | 2} - 0 — disables CRL checking (this is the default for Windows 2000).
- 1 — causes CRL checking to be attempted and certificate validation to fail only if the certificate is revoked (this is the default for Windows XP and Windows Server 2003). Other failures that are encountered during CRL checking (such as the revocation URL not being reachable) do not cause certificate validation to fail.
- 2 — enables strong CRL checking, which means that CRL checking is required and that certificate validation fails if any error is encountered during CRL processing. Set this registry value for enhanced security.
|
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло. Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена. Может на мой сертификат взгляните? Да и еще, ошибка соединения выдается сразу, без задержки. Отредактировано пользователем 6 августа 2014 г. 12:37:58(UTC)
| Причина: Не указана
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Автор: Dim Поставил на сервере и на второй тестовой машине (windows 7 ) "netsh ipsec dynamic set config strongcrlcheck value=0" не помогло. Кстати на XP написало что команд "ipsec dynamic set config strongcrlcheck value=0" не найдена. Может на мой сертификат взгляните?
Да и еще, ошибка соединения выдается сразу, без задержки. Давайте, а также желательно логи cp_ipsec_info, сюда или на почту pdn@cryptopro.ru. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Дело оказалась в корневых сертификатах, которые в доверенных компьютера. Несколько раз смотрел, почему пропустил не пойму.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Уважаемый pd, подскажите я правильно понял или нет. На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)?
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Автор: Dim Уважаемый pd, подскажите я правильно понял или нет. На сервере надо установить сертификат в котором общее имя обязательно должно совпадать с полным именем этого сервера. А на клиенте все равно что будет указанно в общем имени, главное чтобы было назначение «IKE-посредник IP-безопасности» (1.3.6.1.5.5.8.2.2)? Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения. Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится. Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения. |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Автор: pd Неправильно — так как неизвестны случаи дополнительных проверок на обязательное совпадение имен в сертификате и имени компьютера при установке IPsec соединения.
Согласование строится по принципу общего источника доверия. Если от этого источника имеются корректно установленные IKE-сертификаты — IPsec соединение установится.
Понял. Автор: pd Стоит отметить, что такие проверки возможны при использовании этого же сертификата в других протоколах авторизации, например EAP, который может быть задействован после установки IPsec соединения.
Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату. Выпустил сертификат для сервера с указанием назначения «Проверка подлинности сервера» (1.3.6.1.5.5.7.3.1) для клиента назначения «Проверка подлинности клиента» (1.3.6.1.5.5.7.3.2). В CN клиентского сертификата указал полное доменное имя dim@test.ru. Сертификаты установил следующим образом: на сервере серверный сертификат в личные хранилища компьютера с привязкой к закрытому ключу, на клиенте этот же сертификат установил тоже личные хранилища компьютера но уже без закрытого ключа на клиенте клиентский сертификат в личные хранилища пользователя с привязкой к закрытому ключу, эта машина не входит в домен. При попытке подключения выдает ошибку что такие имя пользователя и пароль в домене отсутствуют. Придаете пожалуйста направления куда рыть.
|
|
|
|
Статус: Сотрудник
Группы: Администраторы
Зарегистрирован: 16.09.2010(UTC) Сообщений: 1,505 Откуда: КРИПТО-ПРО
Сказал(а) «Спасибо»: 35 раз Поблагодарили: 474 раз в 338 постах
|
Автор: Dim Теперь споткнулся с EAP. Итак хочу произвести аутентификацию по сертификату. Этот сценарий у нас проработан и внедрен, сами именно так подключаемся удаленно к офису. "Руководство администратора безопасности" доступно здесь: https://www.cryptopro.ru/products/ipsec/downloads |
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 10.04.2008(UTC) Сообщений: 157 Откуда: Новороссийск
Поблагодарили: 14 раз в 8 постах
|
Почитал. Насколько я понял для того чтобы реализовать аутентификацию по сертификату должен быть поднят домен в домене поднят ЦС с ролью предприятия. Либо должен быть указан RADIUS сервер, сторонего производителя, который умеет проводить аутентификацию по сертификатам.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close