Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Viat  
#1 Оставлено : 14 октября 2008 г. 23:30:37(UTC)
Viat

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.09.2008(UTC)
Сообщений: 6

Здравствуйте.
Есть внешний адрес https://ca.firmname.ru и есть регистрационный сервер с именем servername
В инструкции по установке указанно при создании WEB сертификата вводить доменное имя сервера. Будут ли негативные последствия если WEB сертификат будет выписан на ca.firmname.ru, а имя сервера servername?
Если да, как избежать проблем?
Спасибо.
Offline Татьяна  
#2 Оставлено : 15 октября 2008 г. 15:18:23(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
При подключении к серверу центра регистрации с АРМ администратора или через веб интерфейс происходит проверка подлинности сервера. Она включает в себя проверку совпадения адреса, к которому происходит подключение с адресом в сертификате.
Если при подключении будет использоваться ca.firmname.ru, в сертификате нужно указывать ca.firmname.ru
Татьяна
ООО Крипто-Про
Offline Viat  
#3 Оставлено : 15 октября 2008 г. 16:43:47(UTC)
Viat

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.09.2008(UTC)
Сообщений: 6

Тоесть привязав сертификат ca.firmname.ru на сервере servername, для корректного соединения, можно на всех ПК с АРМ просто в hosts указать что ca.firmname.ru живет по ip servername ?
Offline Татьяна  
#4 Оставлено : 15 октября 2008 г. 16:53:07(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
если АРМ находится в подсети, в которой ЦР не виден по имени ca.firmname.ru, то да.
Татьяна
ООО Крипто-Про
Offline Viat  
#5 Оставлено : 15 октября 2008 г. 19:49:06(UTC)
Viat

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.09.2008(UTC)
Сообщений: 6

Спасибо.
Offline Julia  
#6 Оставлено : 18 сентября 2009 г. 15:15:48(UTC)
Julia

Статус: Участник

Группы: Участники
Зарегистрирован: 22.06.2009(UTC)
Сообщений: 19
Откуда: Ufa

Здравствуйте! Подскажите пожалуйста. Планируем развернуть УЦ. Центр регистрации, на который копируются CRL, должен быть доступен пользователям как во внешней сети, так и во внутренней, в т.ч. для ЦС и АРМ администратора во внутренней сети. Какое имя лучше назначить для web-сервера ЦР, чтобы все корректно работало? Должно ли это быть доменное имя ra.firmname.ru (имеется зарегистрированное доменное имя firmname.ru)? Можно ли дать имя в виде ip-адреса (внешнего)?
Offline Татьяна  
#7 Оставлено : 21 сентября 2009 г. 19:09:28(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
Если Вы планируете предоставлять пользователям доступ к веб-интерфейсу ЦР, то это должно быть имя, по которому пользователи будут к нему обращаться ( ra.firmname.ru )



Если при этом с АРМа он не доступен под этим именем, измените на АРМе файл C:\WINDOWS\system32\drivers\etc\hosts , добавив туда строку

IP_по_которому_ЦР_доступен_с_АРМа ra.firmname.ru




И в настройках АРМа в строке подключения к ЦР используйте имя сервера ra.firmname.ru .
Татьяна
ООО Крипто-Про
Offline Julia  
#8 Оставлено : 22 сентября 2009 г. 12:01:49(UTC)
Julia

Статус: Участник

Группы: Участники
Зарегистрирован: 22.06.2009(UTC)
Сообщений: 19
Откуда: Ufa

Спасибо за ответ, но я имела в виду другое. Можно ли обращаться к web-интерфейсу ЦР не по доменному имени, а по ip-адресу? например, https://82.198.192.125/UI/user.asp. Корректно ли это?
Offline Татьяна  
#9 Оставлено : 22 сентября 2009 г. 15:09:23(UTC)
Татьяна

Статус: Сотрудник

Группы: Участники
Зарегистрирован: 06.02.2008(UTC)
Сообщений: 1,491
Откуда: Крипто-Про

Поблагодарили: 40 раз в 37 постах
При обращении к ЦР по протоколу https проверяется, что имя сервера совпадает с именем сервера в сертификате.

Поскольку сертификат один, все приложения обращающиеся к ЦР должны использовать одно и то же имя сервера, а именно имя из этого сертификата (на самом деле, тут существует ещё некоторая свобода, например использовании в имени из сертификата "*", означающей произвольный кусок имени, но к рассматриваемому случаю с IP это отношения не имеет).

Таким образом, если у Вас в сертификате записано имя сервера 82.198.192.125 , и все(и АРМ и пользователи) обращаются к серверу по этому адресу, то да, это будет работать. Иначе -- нет.
Татьяна
ООО Крипто-Про
Offline Julia  
#10 Оставлено : 22 сентября 2009 г. 16:14:42(UTC)
Julia

Статус: Участник

Группы: Участники
Зарегистрирован: 22.06.2009(UTC)
Сообщений: 19
Откуда: Ufa

Спасибо большое за ответы, я так и предполагала.
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Guest
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.