|
Компьютерный форум OSzone.net » Серверные продукты Microsoft » Windows Server 2008/2008 R2 » 2008 R2 - [решено] Сертификат для сервера шлюза RDP |
|
|
2008 R2 - [решено] Сертификат для сервера шлюза RDP
|
Пользователь Сообщения: 59 |
Имеем Windows Server 2008 R2. Он выполняет функции сервера терминалов. Функции домена сервер не выполняет. Для доступа к 1С используется RemoteApp. Так как есть пользователи которым нужен доступ снаружи (из интернета) я сразу обратил внимание на новую фичу "шлюз удаленных рабочих столов". Функции шлюза выполняет этот же сервер. На этапе настройки сразу возникает вопрос о том как правильно создать сертификат SSL.
В диспетчере служб IIS есть два варианта создания сертификата. Это "создать сертификат домена" и "создать самозаверенный сертификат". Так как домена у нас нет, то получается подходит только второй вариант. То есть нужно создать сертификат и потом установить его на тех машинах, в которых подразумевается доступ к RDP через шлюз. При создании такого сертификата, указывается только один параметр "Понятное имя сертификата". Что туда указывать непонятно (судя по названию параметра, можно вписать все что угодно). После того как сертификат создан и установлен на другой машине при подключении через шлюз предупреждение об отсутствии сертификата пропадает, но появляется новое. ![]() ![]() Пробовал в качестве имени задавать IP? тоже не катит! Сразу скажу, чтобы не было неправильных предположений, что сертификат естественно занесен в группу доверенных. Может, кто поможет разобраться как все таки сделать удобоваримый сертификат. PS Заранее спасибо!! |
|
Отправлено: 14:57, 15-09-2010 |
Ветеран Сообщения: 3722
|
Профиль | Отправить PM | Цитировать Цитата ZOOBR:
|
|
------- Отправлено: 15:02, 15-09-2010 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Пользователь Сообщения: 59
|
Профиль | Отправить PM | Цитировать Цитата Telepuzik:
Кроме того когда данный сертификат переноситься на другой комп, путь сертификации в нем меняется на имя сервера! Вот выдержка о создании такого сертификата с сайта microsoft: "На странице Создание самозаверенного сертификата введите понятное имя сертификата в поле Понятное имя сертификата и нажмите кнопку ОК." Неужели никто еще шлюз для RDP без домена не настраивал? |
|
Последний раз редактировалось ZOOBR, 15-09-2010 в 15:32. Отправлено: 15:20, 15-09-2010 | #3 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Файл сертификатов шлюза (с открытым ключом) RDP можете привести?
Цитата ZOOBR:
Сертфикат нужен для аутентификации сервера на стороне клиента. Как по вашему, без имени или адреса, клиент проверит, что сервер является тем за кого себя выдает? Вот неплохо о сертификатах написано, http://ru.ispdoc.com/index.php/SSL_с...87.D0.BE.D0.BC либо ищите книгу MS Press о безопасности, вас интересует глава посвященная CA |
|
------- Отправлено: 17:43, 15-09-2010 | #4 |
Пользователь Сообщения: 59
|
Профиль | Отправить PM | Цитировать Спасибо, что обратили внимание.
Цитата kim-aa:
Цитата kim-aa:
Цитата kim-aa:
Цитата kim-aa:
Поэтому и прошу помочь. Вот здесь вполне удобоваримая статья по настройке шлюза RDP. Там есть раздел про создание сертификата, но применительно к домену. ![]() |
|||||
Последний раз редактировалось ZOOBR, 15-09-2010 в 22:59. Отправлено: 22:39, 15-09-2010 | #5 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата ZOOBR:
Если клиентов не много - эт овполне приемлемо. Если клиентов много, тогда танцы с DNS, например DynDNS или регистрация своего домена, либо получение имени у провайдера. Вам же по сути всего имя для одного узла нужно Цитата ZOOBR:
Расшифрую: - Главная функция это аутентификация сервера на стороне клиента, т. е. клиент (точнее компьютер клиента) пытается убедится, что сервер является тем, за кого себя выдает, а не какая либо бяка вставшая посередине вашего трафика или просто подправившая DNS-разрешения. Способов аутентификации сервера много, но прижились двое: - preshared key - сертификат сервера Самозаверенность это способ подтверждения валидности (действительности) сертификата в дереве CA (центров сертификации). Например сертификаты выпущеные корневыми CA всегда самоподписанные, т. к. нет более высокого уровня центров сертификации. С самоподписанными сертификатами одна морока - ими тяжело управлять, однако если клиентов мало, можно и руками (как вы и сделали). Кстати, если имя сервера разрешаемое (при помощи DNS) на стороне клиента, не совпадает с именем в предъявлямом сертификате, то и домен вам не поможет. Домен хорош когда все, и клиенты и серверы в нем находятся ,т.е. распознавание имен у них происходит при помощи одного механизма - серверов имен домена. Т. е. заранее есть гарантия, что имя под которым себя осознает сервер будет таким же на клиенте. Цитата ZOOBR:
Сертифкаты везеде одинаковые. В той же MS можно развернуть центр сертифкации интегрированный в домен и не интегрированный. Интегрированным в домент просто гораздо проще управлять (например с помощью групповых политик), выпускать и отзывать сертификаты. По рекомендации той же MS корневой CA всегда автономен, т.е. не интегрируется в домен. |
|||
------- Последний раз редактировалось kim-aa, 16-09-2010 в 09:51. Отправлено: 09:32, 16-09-2010 | #6 |
Пользователь Сообщения: 59
|
Профиль | Отправить PM | Цитировать Цитата kim-aa:
Цитата kim-aa:
Цитата kim-aa:
![]() Цитата kim-aa:
|
||||
Отправлено: 10:30, 16-09-2010 | #7 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата ZOOBR:
Безопасность сети на основе Microsoft Windows Server 2003 Экзамен 70-298 Глава 2 http://www.infanata.org/2006/01/13/b...rver_2003.html По 2008, к сожалению еще ничего нет. Однако по собственному опыту хочк сказать ,что работа с сертификатами там не изменилась. просто была добавлена новая версия сертификатов v3 (она функционирует только внутри домена 2008 и отношения к SSL не имеет) Цитата ZOOBR:
Данная операция имеет смысл при массовых операциях: - Внедрении услиненной аутентификации пользователей по е-токенам - Внедерние шифрования файловой системы - Внедрение защищенной электронной почты - внедрение аутентификации хостов пользователей в сети по 802.1X, в том числе и безпроводных. |
||
------- Отправлено: 12:19, 16-09-2010 | #8 |
Пользователь Сообщения: 59
|
Профиль | Отправить PM | Цитировать Цитата kim-aa:
Но вот подключиться к RDP через шлюз пока так и не вышло! Имею следуещее: 1) Сервер имеет IP 192.168.10.11 2) Имя сервера: server; Делаю все вот так: На сервере: 1) Настроил терминальный доступ на сервер. Без шлюза естественно все работает; 2) Создаю две политики для шлюза терминалов(авторизации подключений и авторизации ресурсов). Прописываю им группы пользователей. 2) В оснастке "Диспетчер шлюза удаленных рабочих столов" в свойства сервера в закладке "Сертификат SSL" выбираю опцию "Создать самозаверяющий сертификат", нажимаю кнопку "Создать и импортировать сертификат"; 3) Метод проверки для шлюза выбран как пароль; 4) Задаю имя сертификата "server" и выбираю путь для сохранения сертификата. Выставляю галку "Хранить сертификат"; 5) Проверяю, что сертификат находится в каталоге доверенных корневых сертификатов; 6) Копирую сертификат на другой компьютер в этой же сети имеющий адрес 192.168.10.1; На клиенте 1) Устанавливаю сертификат выбрав каталог доверенных; 2) Прописываю в hosts соответствие 192.168.10.11 server; 3) Запускаю mtsc и вношу следующие параметры: а) Сервер: server б) Сервер шлюза: server; в) Убираю галку "не использовать для локальных адресов"(так как сервер у нас локальный) 4) Пытаюсь подключиться!! Выдаеться запрос на имя пользователя и пароль. ВОЙТИ НЕ ПОЛУЧАЕТСЯ! Выдает запрос заново и так до бесконечности. Что удивительно, если в качестве адреса шлюза при подключении указать его IP, то авторизация проходит успешно, но выдается предупреждение, о котором я писал в первом посте и зайти тоже не получается!? Что же я делаю не так??? |
|
Отправлено: 12:45, 16-09-2010 | #9 |
Назгул Сообщения: 2633
|
Профиль | Отправить PM | Цитировать Цитата ZOOBR:
Уточните: - терминальный клиент и его настройки при доступе поверх web - номер порта сервера который для этого используется (IIS точно не использует RDP порты, вероятнее всего 443 или нечто специфическое) Цитата ZOOBR:
У вас срок действия сертификата крайне мал - на сегодня. Правте время действия. поставте хотя бы год Цитата ZOOBR:
tracert server |
|||
------- Отправлено: 14:16, 16-09-2010 | #10 |
|
![]() |
Участник сейчас на форуме |
![]() |
Участник вне форума |
![]() |
Автор темы |
![]() |
Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] ISA 2006 в роли шлюза и vpn сервера? | bagurdin | ISA Server / Microsoft Forefront TMG | 4 | 09-07-2010 00:49 | |
[решено] Сертификат сервера: неверный тип ключа... | Brat_ES | ISA Server / Microsoft Forefront TMG | 4 | 20-06-2010 01:05 | |
Интерфейс - Как в ХР сохранить сертификат для использования после переустановки ОС? | 9073 | Microsoft Windows 2000/XP | 1 | 16-11-2009 20:18 | |
Cisco - Рассматривается покупка маршрутизатора для работы в качестве шлюза в Интернет для ЛВС | Mertvii | Сетевое оборудование | 2 | 29-08-2008 09:58 | |
Решения для шлюза | Negativ | Программное обеспечение Linux и FreeBSD | 0 | 29-11-2007 10:36 |
|