Автор Тема: Проблема SSL сертификатов.  (Прочитано 10750 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Проблема SSL сертификатов.
« : 24 сентября 2012, 16:11:19 »
Итак, это мне говорит анализато от MS

Проверка подключения RPC/HTTP.
     Не удалось выполнить проверку RPC/HTTP.
    Attempting to resolve the host name mail.prin.ru in DNS.
     The host name resolved successfully.
    Дополнительные сведения
     IP addresses returned: 212.100.140.116
    Testing TCP port 443 on host mail.prin.ru to ensure it's listening and open.
     The port was opened successfully.
    Testing the SSL certificate to make sure it's valid.
     The SSL certificate failed one or more certificate validation checks.
    ExRCA is attempting to obtain the SSL certificate from remote server mail.prin.ru on port 443.
     ExRCA successfully obtained the remote SSL certificate.
Remote Certificate Subject: CN=MAIL, Issuer: CN=MAIL.
    Validating the certificate name.
     Certificate name validation failed.
Host name mail.prin.ru doesn't match any name found on the server certificate CN=MAIL.

Цель.
1. Получить возможность работы мобильных клиентов(IOS, MS Win CE, Android e.t.c.) и Outlook2010 из внешних сетей, с моим сервером Exchange. Все роли на одном сервере.
Вопросы.
1. Без покупки SSL сертификата или установки собственного центра сертификации никак?
2. Стоимость сертификатов 300 в год не смертельно но неприятно дешевле это бывает или нет?
2. Почему например Bada болт кладет на все эти сертификаты и работает?

На другом сервере мне подсказали что можно обойтись и самоподписаными, только как я понял их надо руками рассовать на те девайсы которые буду подключать, если я конечно понял правильно.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн VanDyke

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
Проблема SSL сертификатов.
« Ответ #1 : 24 сентября 2012, 16:29:42 »
1. Без покупки SSL сертификата или установки собственного центра сертификации никак?

Если девайсы проверяют честно СА - то никак. Ибо самопальный СА не будет в списке доверенных СА этих железок.
2. Стоимость сертификатов 300 в год не смертельно но неприятно дешевле это бывает или нет?

http://www.startssl.com/
На год можно бесплатно запилить.
2. Почему например Bada болт кладет на все эти сертификаты и работает?

Наверное забивает на проверку сертификатов )
Not as ultimate as 42, but pretty close...

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Проблема SSL сертификатов.
« Ответ #2 : 24 сентября 2012, 16:30:34 »
1. Без покупки SSL сертификата или установки собственного центра сертификации никак?
Да, никак. Поставить собственный центр сертификации обычно никакого труда не составляет.

1. Получить возможность работы мобильных клиентов(IOS, MS Win CE, Android e.t.c.) и Outlook2010 из внешних сетей, с моим сервером Exchange. Все роли на одном сервере.
В гугле полно статей, как это сделать. Например: https://www.google.ru/search?hl=ru&newwindow=1&safe=off&client=opera&hs=RKp&rls=en&q=configure+exchange+2010+outlook+anywhere&oq=configure+Excahnge+2010+Outlook+Anywhere&gs_l=serp.3.0.0i19j0i13i30i19j0i13i5i30i19j0i8i13i10i30i19j0i8i13i30i19l6.42633.50895.0.52825.18.18.0.0.0.0.318.1795.14j2j0j1.17.0...0.0...1c.1.58C6v6uwgTc

На другом сервере мне подсказали что можно обойтись и самоподписаными
Не надо так делать. Вы не должны этого хотеть :)

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Проблема SSL сертификатов.
« Ответ #3 : 24 сентября 2012, 17:59:13 »
На год можно бесплатно запилить.
только вот я не понял как, там же вроде выписывают типа личный, или это всё пофиг? Ну да я им письмо нарисовал, посмотрю что ответят.

Наверное забивает на проверку сертификатов
гм, а остальных нельзя заставить?

Поставить собственный центр сертификации обычно никакого труда не составляет.
Да вот начал читать и что то меня запугали, что если он грохнется то плохо будет всему домену, а отдельного сервака у меня пока что нет.

В гугле полно статей, как это сделать.
Ок, я всё это уже и сам нашел, но таки понял что сначал всё таки надо решить с SSL.

Не надо так делать. Вы не должны этого хотеть
И ещё так руками водит....как будто джедай какой то :)...
прессуют меня, бегом давай скорей все мыло на мобилах хочут...
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Проблема SSL сертификатов.
« Ответ #4 : 24 сентября 2012, 19:08:26 »
Да вот начал читать и что то меня запугали, что если он грохнется то плохо будет всему домену, а отдельного сервака у меня пока что нет.

C чего тут вдруг домен-то?  :o Тебя там вообще кто консультирует? :) Вот у тебя сейчас центра сертификации нет и что, не грохнулся еще твой домен?  :D
З.Ы. Ну и бекапы рулят конечно.
А всего и делов будет при самом неблагоприятном раскладе - поднять новый центр сертификации и перевыписать все сертификаты :)

З.Ы. Немножко по-дилетантски, но тебе думаю подойдет на первый раз: http://retifff.wordpress.com/2012/04/29/installation_active_directory_certificate_services/


Updated: 24 September 2012, 20:09:20

бегом давай скорей все мыло на мобилах хочут...

А это уже гуглить "Configure ActiveSync Exchange 2010" :)

Оффлайн VanDyke

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
Проблема SSL сертификатов.
« Ответ #5 : 24 сентября 2012, 19:37:04 »
гм, а остальных нельзя заставить?
Ну в тех случаях что я наблюдал - всегда есть менюха что сертификат невалидный и выбор - игнорить или отменить. И галка - игнорить навсегда :)
Думаю это общая штука для всех вещей что связано с ssl.
Not as ultimate as 42, but pretty close...

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема SSL сертификатов.
« Ответ #6 : 24 сентября 2012, 20:15:26 »
Да вот начал читать и что то меня запугали, что если он грохнется то плохо будет всему домену, а отдельного сервака у меня пока что нет.
C чего тут вдруг домен-то?  :o Тебя там вообще кто консультирует? :) Вот у тебя сейчас центра сертификации нет и что, не грохнулся еще твой домен?  :D
З.Ы. Ну и бекапы рулят конечно.
А всего и делов будет при самом неблагоприятном раскладе - поднять новый центр сертификации и перевыписать все сертификаты :)
Думаю, тут имелось в виду другое: Если CA поставить на DC, то такой DC нельзя будет понижать до рядового сервера, что иногда используется для решения проблем с DC, если в домене их более, чем один.

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Проблема SSL сертификатов.
« Ответ #7 : 24 сентября 2012, 20:39:06 »
shs, ну на самом деле тоже ничего особенно страшного, все решаемо. Я вот столкнулся с другой проблемой, установив не на DC, там сертификаты сами не публикуются в AD, надо какие-то дополнительные шаги предпринимать, может что не так сделал конечно.

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема SSL сертификатов.
« Ответ #8 : 24 сентября 2012, 20:45:52 »
shs, ну на самом деле тоже ничего особенно страшного, все решаемо.
только на одно простое и быстрое решение меньше ;)

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Проблема SSL сертификатов.
« Ответ #9 : 24 сентября 2012, 20:48:18 »
shs, ну на самом деле тоже ничего особенно страшного, все решаемо.
только на одно простое и быстрое решение меньше ;)
Ну это же не значит, что нужно бояться и не использовать центр сертификации :D

Оффлайн shs

  • Модераторы
  • Ветеран
  • *****
  • Сообщений: 4401
  • Рейтинг: 89
    • Просмотр профиля
    • ShS's blog
  • Откуда: Default city
Проблема SSL сертификатов.
« Ответ #10 : 24 сентября 2012, 20:51:27 »
shs, ну на самом деле тоже ничего особенно страшного, все решаемо.
только на одно простое и быстрое решение меньше ;)
Ну это же не значит, что нужно бояться и не использовать центр сертификации :D
Не значит конечно, но надо понимать, какие грабли ты себе подкладываешь, принимая то или иное решение  :D

Онлайн Retif

  • Администраторы
  • Олдфаг
  • *****
  • Сообщений: 9059
  • Рейтинг: 88
  • Пол: Мужской
  • Афтар
    • Просмотр профиля
    • Мой блог
  • Откуда: Орёл
Проблема SSL сертификатов.
« Ответ #11 : 24 сентября 2012, 20:56:41 »
Ну я, если честно, не представляю более менее приличную сеть без CA, тем более если есть Exchange, тут вообще никак.

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Проблема SSL сертификатов.
« Ответ #12 : 24 сентября 2012, 22:46:22 »
C чего тут вдруг домен-то?  :o Тебя там вообще кто консультирует?
Ну вот какую то статью сегодня на технете где то про это и прочел, сказали что оно ка кто так вгрызается в AD, что потом если что поаккуратней.
З.Ы. Немножко по-дилетантски, но тебе думаю подойдет на первый раз: http://retifff.wordpress.com/2012/04/29/installation_active_directory_certificate_services/
Оно кстати много не ест? А то мне если его подымать только на DC, а он к сожалению пока что один бедняга и не очень жирный.



Updated: 24 September 2012, 23:47:18

А это уже гуглить "Configure ActiveSync Exchange 2010" :)
Ну так опять же сначала нормальный SSL стало быть надо.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн Dr.Night

  • Старожил
  • ****
  • Сообщений: 996
  • Рейтинг: 22
  • Пол: Мужской
    • mikhail.penkov
    • Просмотр профиля
  • Откуда: ( ω )
Проблема SSL сертификатов.
« Ответ #13 : 24 сентября 2012, 23:23:32 »
Triangle, тебе нужен один (!) серифкат.
Поэтому подними CA на недоменной виртуалке, сгенери сертификат сроком лет на 5, вытащи корневой сертификат и погаси до следующей надобности.

Если хочешь красиво и кошерно, читай http://www.sysadmins.lv/PermaLink,guid,bb8a9447-9b14-4540-add9-6df308129edd.aspx
Если CA поставить на DC, то такой DC нельзя будет понижать до рядового сервера

Угу, у меня есть один такой Win2k3 DC (((
Теперь из-за этого уродского сервера придется CA заново переподнимать и все сертификаты перевыдавать, что бы домен до 2k8 проапгрейдить (((


Updated: 25 September 2012, 00:25:01

Оно кстати много не ест?

практически ноль ресурсов.


Updated: 25 September 2012, 00:28:16

Ну в тех случаях что я наблюдал - всегда есть менюха что сертификат невалидный и выбор - игнорить или отменить. И галка - игнорить навсегда
Думаю это общая штука для всех вещей что связано с ssl.

Кроме Windows , в том числе, Windows mobile.
There are ten kinds of people in the world - those who understand binary and those who don't

Оффлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 7128
  • Рейтинг: 48
  • Пол: Мужской
  • Откуда: замкадыш
Проблема SSL сертификатов.
« Ответ #14 : 25 сентября 2012, 05:34:28 »
riangle, тебе нужен один (!) серифкат.
Поэтому подними CA на недоменной виртуалке, сгенери сертификат сроком лет на 5, вытащи корневой сертификат и погаси до следующей надобности.
Чего то я не подумал про такой вариант.




Updated: 25 September 2012, 13:42:13

Поднял CA, с паралельным поедание бутербродов минут семь заняло.

Ещё вопрос, а Wildcard это совсем не есть хорошо или как?


Updated: 25 September 2012, 14:17:03

Хм, чего то не выходит.

C4A8D9BC7E54F2593C072FF5BCDD297840B270AC  ......     CN=mail.prin.ru, OU=it, O=jsc prin, L=MS, S=RF, C=RU
8BE3DC7468C916E25ED95B3963DC369AF23C4442  IP..S.     CN=MAIL
E25E7FA5D2CF10A2F58FA2CFF0418391A98D71CD  IP.WS.     CN=MAIL

И ругается на сертификат, не удалось проверить проследив до довереного центра сертификации.

Так, свой CA  закинул в доверенные центры, теперь сертификат действителен, и путь прослеживается, но всё равно сертификат недопустим и к нему не подвязана ни одна служба.
« Последнее редактирование: 25 сентября 2012, 14:00:53 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.