[Telepuzik]

Цитата ZOOBR:

При создании такого сертификата, указывается только один параметр "Понятное имя сертификата". Что туда указывать непонятно (судя по названию параметра, можно вписать все что угодно). »

Нужно указывать имя сервера по которому вы обращаетесь к серверу из интернета.

[ZOOBR]

Цитата Telepuzik:

Нужно указывать имя сервера по которому вы обращаетесь к серверу из интернета. »

Имя чего?? Компьютера? Так не подойдет! Во первых собственного имени в сети интернет машина не имеет. Есть IP, но он может быть динамическим? Непонятно!

Кроме того когда данный сертификат переноситься на другой комп, путь сертификации в нем меняется на имя сервера!

Вот выдержка о создании такого сертификата с сайта microsoft:
"На странице Создание самозаверенного сертификата введите понятное имя сертификата в поле Понятное имя сертификата и нажмите кнопку ОК."

Неужели никто еще шлюз для RDP без домена не настраивал?

[kim-aa]

Файл сертификатов шлюза (с открытым ключом) RDP можете привести?

Цитата ZOOBR:

Имя чего?? Компьютера? Так не подойдет! Во первых собственного имени в сети интернет машина не имеет. Есть IP, но он может быть динамическим? Непонятно! »

Сертфикат хоста всегда содержит DNS-имя или IP-хоста.
Сертфикат нужен для аутентификации сервера на стороне клиента.
Как по вашему, без имени или адреса, клиент проверит, что сервер является тем за кого себя выдает?

Вот неплохо о сертификатах написано,
http://ru.ispdoc.com/index.php/SSL_с...87.D0.BE.D0.BC
либо ищите книгу MS Press о безопасности, вас интересует глава посвященная CA

[ZOOBR]

Спасибо, что обратили внимание.

Цитата kim-aa:

Сертфикат хоста всегда содержит DNS-имя или IP-хоста. »

Об этом я уже слышал, но я пробовал именно с IP сервера и ничего не получил. И тогда также напрашивается вопрос как быть если доступ на сервер идет с нескольких сетей? На входе то IP разные, а в настройках шлюза можно указать только один сертификат. Ну это ладно, хоть с одним бы заработал.

Цитата kim-aa:

Файл сертификатов шлюза (с открытым ключом) RDP можете привести? »

Да пожалуйста, если это чем-то поможет! Выложил сертификат во вложении в форматах cert и prx(пароль на prx: 123). Сертификат самозаверенный. В качестве имени использую адрес сервера в локалке! Тестирую соответственно пока тоже в локалке на VMware.

Цитата kim-aa:

Как по вашему, без имени или адреса, клиент проверит, что сервер является тем за кого себя выдает? »

В случае самозаверенного сертификата его копия передается на сторону клиента и по идее должно и так работать (так гласит microsoft)! А вот в случае доменного сертификата так действительно не получиться!

Цитата kim-aa:

Вот неплохо о сертификатах написано, http://ru.ispdoc.com/index.php/SSL_с...87.D0.BE.D0.BC либо ищите книгу MS Press о безопасности, вас интересует глава посвященная CA »

Списибо конечно за ссылку, но там немного не о том, а именно к Windows Server 2008 отношения не имеет. Да и если честно во всех этих книгах много теории и 0 практики. Меня интересует всего лишь один вопрос. Как правильно создать и потом использовать сертификат для доступа к шлюзу RDP на сервере не являющемся контроллером домена. Инет перерыл и нигде толковой информации не нашел. Инструкции есть только для домена, где соответственно используют доменный сертификат, чего у меня нет! Может я конечно чего-то не понял и может можно как-то создать доменный сертификат для моего случая (хотя он требует сервер сертификации), но как это сделать я не знаю.
Поэтому и прошу помочь.

Вот здесь вполне удобоваримая статья по настройке шлюза RDP. Там есть раздел про создание сертификата, но применительно к домену.

[kim-aa]

Цитата ZOOBR:

Об этом я уже слышал, но я пробовал именно с IP сервера и ничего не получил. И тогда также напрашивается вопрос как быть если доступ на сервер идет с нескольких сетей? На входе то IP разные, а в настройках шлюза можно указать только один сертификат. Ну это ладно, хоть с одним бы заработал. »

Это очень просто, в файле host на клиенте прописываете, то DNS имя которое указано в сертификате.
Если клиентов не много - эт овполне приемлемо.

Если клиентов много, тогда танцы с DNS, например DynDNS или регистрация своего домена, либо получение имени у провайдера. Вам же по сути всего имя для одного узла нужно

Цитата ZOOBR:

В случае самозаверенного сертификата его копия передается на сторону клиента и по идее должно и так работать (так гласит microsoft)! А вот в случае доменного сертификата так действительно не получиться! »

Вы, путаете сертификат и для чего он нужен.

Расшифрую:
- Главная функция это аутентификация сервера на стороне клиента, т. е. клиент (точнее компьютер клиента) пытается убедится, что сервер является тем, за кого себя выдает, а не какая либо бяка вставшая посередине вашего трафика или просто подправившая DNS-разрешения.
Способов аутентификации сервера много, но прижились двое:
- preshared key
- сертификат сервера

Самозаверенность это способ подтверждения валидности (действительности) сертификата в дереве CA (центров сертификации).
Например сертификаты выпущеные корневыми CA всегда самоподписанные, т. к. нет более высокого уровня центров сертификации.
С самоподписанными сертификатами одна морока - ими тяжело управлять, однако если клиентов мало, можно и руками (как вы и сделали).


Кстати, если имя сервера разрешаемое (при помощи DNS) на стороне клиента, не совпадает с именем в предъявлямом сертификате, то и домен вам не поможет.
Домен хорош когда все, и клиенты и серверы в нем находятся ,т.е. распознавание имен у них происходит при помощи одного механизма - серверов имен домена.
Т. е. заранее есть гарантия, что имя под которым себя осознает сервер будет таким же на клиенте.

Цитата ZOOBR:

Списибо конечно за ссылку, но там немного не о том, а именно к Windows Server 2008 отношения не имеет. Да и если честно во всех этих книгах много теории и 0 практики. Меня интересует всего лишь один вопрос. Как правильно создать и потом использовать сертификат для доступа к шлюзу RDP на сервере не являющемся контроллером домена. Инет перерыл и нигде толковой информации не нашел. Инструкции есть только для домена, где соответственно используют доменный сертификат, чего у меня нет! Может я конечно чего-то не понял и может можно как-то создать доменный сертификат для моего случая (хотя он требует сервер сертификации), но как это сделать я не знаю. Поэтому и прошу помочь. »

Ваша беда, что вы пытаетесь использовать технологию, не понимая ее сути - итого у вас все выливается в шаманские камлания, а именно тыканье кнопочек по инструкции не понимая, что вы именно делаете.


Сертифкаты везеде одинаковые.
В той же MS можно развернуть центр сертифкации интегрированный в домен и не интегрированный.
Интегрированным в домент просто гораздо проще управлять (например с помощью групповых политик), выпускать и отзывать сертификаты.
По рекомендации той же MS корневой CA всегда автономен, т.е. не интегрируется в домен.

[ZOOBR]

Цитата kim-aa:

Это очень просто, в файле host на клиенте прописываете, то DNS имя которое указано в сертификате. Если клиентов не много - эт овполне приемлемо. »

Про это я как-то не подумал? В принципе вариант! Пойду сейчас попробую! Спасибо.

Цитата kim-aa:

Вы, путаете сертификат и для чего он нужен. »

Спасибо, что просвящаете, но я четко знаю что сертификат нужен в моем случае для безопасного соединения клиента с сервером! Этого мне достаточно. А за инфу спасибо, я действительно с сертификатами еще плотно не морочился, поэтому слабо подкован в теории.

Цитата kim-aa:

Ваша беда, что вы пытаетесь использовать технологию, не понимая ее сути - итого у вас все выливается в шаманские камлания, а именно тыканье кнопочек по инструкции не понимая, что вы именно делаете. »

Если честно просто некогда в инфу вникать, стоит несколько серваков новых и ждут своей участи (и участь у них разная), тут уж не до изучения теории. Начальство напирает, поэтому не до этого. А по поводу тырканья кнопочек вы переборщили все-таки, я обычно тыркаю их с пониманием того, что делаю, кроме того по возможности все стараюсь без них делать, т.е. через консоль, тем более что мелкософт активно ее развивает. А вот с сертификатом вы правы, я просто плясал с бубном! Спасибо что помогаете от этих плясок избавится!

Цитата kim-aa:

Сертифкаты везеде одинаковые. В той же MS можно развернуть центр сертифкации интегрированный в домен и не интегрированный. По рекомендации той же MS корневой CA всегда автономен, т.е. не интегрируется в домен. »

Да есть такая роль "Службы сертификации Active Directory", как я понимаю вы про это говорите. Да, создал там сервер сертификации, но как его юзать пока не понял. Я сразу знал что процесс выдачи сертификатов можно автоматизировать, но вопрос как? Не просвятите как правильно развернуть центр сертификации и настроить выдачу или обновление сертификатов? Буду очень благодарен. В сети инфа точечная и целой картины относительно этого собрать не получается.

[kim-aa]

Цитата ZOOBR:

Да есть такая роль "Службы сертификации Active Directory", как я понимаю вы про это говорите. Да, создал там сервер сертификации, но как его юзать пока не понял. Я сразу знал что процесс выдачи сертификатов можно автоматизировать, но вопрос как? Не просвятите как правильно развернуть центр сертификации и настроить выдачу или обновление сертификатов? Буду очень благодарен. В сети инфа точечная и целой картины относительно этого собрать не получается. »

Брэгг Роберта
Безопасность сети на основе Microsoft Windows Server 2003
Экзамен 70-298
Глава 2
http://www.infanata.org/2006/01/13/b...rver_2003.html


По 2008, к сожалению еще ничего нет.
Однако по собственному опыту хочк сказать ,что работа с сертификатами там не изменилась. просто была добавлена новая версия сертификатов v3 (она функционирует только внутри домена 2008 и отношения к SSL не имеет)

Цитата ZOOBR:

Да есть такая роль "Службы сертификации Active Directory", как я понимаю вы про это говорите. Да, создал там сервер сертификации, но как его юзать пока не понял. Я сразу знал что процесс выдачи сертификатов можно автоматизировать, но вопрос как? Не просвятите как правильно развернуть центр сертификации и настроить выдачу или обновление сертификатов? Буду очень благодарен. В сети инфа точечная и целой картины относительно этого собрать не получается. »

Развертывание центра сертификации для одного, двух серверов - это глупость.

Данная операция имеет смысл при массовых операциях:
- Внедрении услиненной аутентификации пользователей по е-токенам
- Внедерние шифрования файловой системы
- Внедрение защищенной электронной почты
- внедрение аутентификации хостов пользователей в сети по 802.1X, в том числе и безпроводных.

[ZOOBR]

Цитата kim-aa:

Брэгг Роберта Безопасность сети на основе Microsoft Windows Server 2003 Экзамен 70-298 Глава 2 http://www.infanata.org/2006/01/13/b...rver_2003.html »

Спасибо, качну для расширения кругозора.

Но вот подключиться к RDP через шлюз пока так и не вышло!
Имею следуещее:
1) Сервер имеет IP 192.168.10.11
2) Имя сервера: server;
Делаю все вот так:
На сервере:
1) Настроил терминальный доступ на сервер. Без шлюза естественно все работает;
2) Создаю две политики для шлюза терминалов(авторизации подключений и авторизации ресурсов). Прописываю им группы пользователей.
2) В оснастке "Диспетчер шлюза удаленных рабочих столов" в свойства сервера в закладке "Сертификат SSL" выбираю опцию "Создать самозаверяющий сертификат", нажимаю кнопку "Создать и импортировать сертификат";
3) Метод проверки для шлюза выбран как пароль;
4) Задаю имя сертификата "server" и выбираю путь для сохранения сертификата. Выставляю галку "Хранить сертификат";
5) Проверяю, что сертификат находится в каталоге доверенных корневых сертификатов;
6) Копирую сертификат на другой компьютер в этой же сети имеющий адрес 192.168.10.1;
На клиенте
1) Устанавливаю сертификат выбрав каталог доверенных;
2) Прописываю в hosts соответствие 192.168.10.11 server;
3) Запускаю mtsc и вношу следующие параметры:
а) Сервер: server
б) Сервер шлюза: server;
в) Убираю галку "не использовать для локальных адресов"(так как сервер у нас локальный)
4) Пытаюсь подключиться!! Выдаеться запрос на имя пользователя и пароль. ВОЙТИ НЕ ПОЛУЧАЕТСЯ! Выдает запрос заново и так до бесконечности.

Что удивительно, если в качестве адреса шлюза при подключении указать его IP, то авторизация проходит успешно, но выдается предупреждение, о котором я писал в первом посте и зайти тоже не получается!?

Что же я делаю не так???

[kim-aa]

Цитата ZOOBR:

На клиенте 1) Устанавливаю сертификат выбрав каталог доверенных; 2) Прописываю в hosts соответствие 192.168.10.11 server; 3) Запускаю mtsc и вношу следующие параметры: а) Сервер: server б) Сервер шлюза: server; в) Убираю галку "не использовать для локальных адресов"(так как сервер у нас локальный) 4) Пытаюсь подключиться!! Выдаеться запрос на имя пользователя и пароль. ВОЙТИ НЕ ПОЛУЧАЕТСЯ! Выдает запрос заново и так до бесконечности. »

Я, честно говоря не вкурсе данной технологии MS, однако в технологии доступа Citrix, с которой она содрана, доступ осуществляется при помощи браузера, а не mtsc.

Уточните:
- терминальный клиент и его настройки при доступе поверх web
- номер порта сервера который для этого используется (IIS точно не использует RDP порты, вероятнее всего 443 или нечто специфическое)

Цитата ZOOBR:

4) Задаю имя сертификата "server" и выбираю путь для сохранения сертификата. Выставляю галку "Хранить сертификат"; »

Это просто "имя" сертификата, имя сервера к которому он привязан вероятнее всего опрделяется в свойствах IIS - проверю сертификат, скажу точнее

У вас срок действия сертификата крайне мал - на сегодня.
Правте время действия. поставте хотя бы год

Цитата ZOOBR:

На клиенте 1) Устанавливаю сертификат выбрав каталог доверенных; 2) Прописываю в hosts соответствие 192.168.10.11 server; 3) Запускаю mtsc и вношу следующие параметры: а) Сервер: server б) Сервер шлюза: server; в) Убираю галку "не использовать для локальных адресов"(так как сервер у нас локальный) 4) Пытаюсь подключиться!! Выдаеться запрос на имя пользователя и пароль. ВОЙТИ НЕ ПОЛУЧАЕТСЯ! Выдает запрос заново и так до бесконечности. Что удивительно, если в качестве адреса шлюза при подключении указать его IP, то авторизация проходит успешно, но выдается предупреждение, о котором я писал в первом посте и зайти тоже не получается!? Что же я делаю не так??? »

выведите результаты отработки на клиенте
tracert server