0 / 0 / 0
Регистрация: 18.03.2018
Сообщений: 5
|
|
1 | |
Win2012 AD+CS+IIS+1C8318.03.2018, 19:38. Показов 4203. Ответов 9
Метки нет (Все метки)
ДОбрый день
Установил два сервера win 2012, На первом: AD+CS ; второй включен в этот домен и на нём iis8+1c8.3server Зарегистрировал домен, а-зоной пробросил его до своего IP адреса, за которым стоит сервер. dst-nat пробросил 80 и 443 порты до IISа, на IIS в брендмауре открыл 80 и 443 на IIS подключил сайт #ИмяДомена.ru На IIS создал Сертификат домена и по нему привязал 443 порт к домену. Опубликовал базу «Client» в 1с 8.3 на сервере IIS в каталоге c:\site\1c , в котором опубликован сайт c:\site Если у опубликованной 1с «Client» с настройками SSL игнорировать, извне подключиться по https://ИмяДомена.ru/Client то всё нормально, 1с откроется. Если у опубликованной 1с «Client» с настройками SSL — Требовать SSL/Требовать, извне подключиться по https://ИмяДомена.ru/Client то выдаёт ошибку: 403 — запрещено. Доступ запрещен. Как создать сертификат, который нужно установить на клиенте, что бы работал авторизация по SSL?
0
|
18.03.2018, 19:38 | |
Ответы с готовыми решениями:
9
IIS + php5 + win2012 exec() не работает Перенос пользователей с Win2008 в AD Win2012 Win2012 (Win7-10 тоже касается) - как ее отучить гадить в C:\Windows\Installer? В чем различие IIS v5 и IIS v6 от IIS v4? |
10 / 9 / 2
Регистрация: 07.02.2018
Сообщений: 41
|
|
19.03.2018, 12:09 | 2 |
Если я правильно понял Вашу затею, то Вам всем клиентам нужно прописать корневой сертификат с сервера сертификации на котором Вы создавали сертификат для SSL.
Это большой геморой для внешних пользователей. всем не раздашь и всем не объяснишь как установить. По этому рекомендую использовать это https://letsencrypt.org/ Это бесплатно и можно настроить авто продление.
0
|
0 / 0 / 0
Регистрация: 18.03.2018
Сообщений: 5
|
|
19.03.2018, 13:02 [ТС] | 3 |
Так в этом и есть смысл, что бы ограничить доступ к сайту людям, у которых нет сертификата.
Я правильно понял, конечному пользователю необходимо установить сертификат, который был указан мной при публикации https и 443 порта на IIS? Но это не работает, или может его нужно устанавливать как то особенным методом? - Везде в мануалах MS написано, что необходимо создать Клиентский сертификат, а как его создать не нашёл.... / Добавлено через 3 минуты Если у опубликованной 1с «Client» с настройками SSL — Требовать SSL/Требовать, извне подключиться по https://ИмяДомена.ru/Client то выдаёт ошибку: 403 — запрещено. Доступ запрещен. Как создать сертификат, который нужно установить на клиенте, что бы работал авторизация по SSL с настойками IIS8 : Настройка SSL - Требовать SSL - Требовать
0
|
10 / 9 / 2
Регистрация: 07.02.2018
Сообщений: 41
|
|
19.03.2018, 13:10 | 4 |
Так СТОП. Изначально Вы описали так как будто Вы хотите предоставить доступ к 1С но безопасно и для этого завели SSL.
А теперь доступ нужен только тем у кого сертификат, тогда.( С клиентским доступом по сертификатам я не сильно сталкивался на практике.) Но по теории,если я не ошибаюсь, Вам нужно рыть в сторону доступа к IIS по клиентским сертификатам. Добавлено через 2 минуты Я думаю что-то из этого Вам должно помочь https://blogs.msdn.microsoft.c... tificates/ https://habrahabr.ru/post/96827/ https://social.technet.microso... orum=iisru
0
|
0 / 0 / 0
Регистрация: 18.03.2018
Сообщений: 5
|
|
19.03.2018, 13:45 [ТС] | 5 |
Да, где его(клиентский) взять??
Для https я создал доменный сертификат..... Добавлено через 29 секунд Вот тут Добавлено через 1 минуту для HTTPS я также приобрёл Comodo PositiveSSL для "надёжного узла" =)
0
|
10 / 9 / 2
Регистрация: 07.02.2018
Сообщений: 41
|
|
19.03.2018, 14:24 | 6 |
Сообщение было отмечено Syps как решение
Решение
Клиентский сертификат выписывается центром сертификации. Вы первом посте Вы писали что у Вас на первом сервере AD+CS. Из этого следует, что вы можете использовать PKI в пределах локального домена без проблем. То есть создать сертификат SSL для вашего Web сервера, который на втором сервере. Так же создать сертификат для сервера. так же создать клиентские сертификаты. У Вас задача ограничить доступ к Web серверу пользователей у кого нет клиентского сертификата.
Есть отличия от простой привязки к IIS ssl сертификата для защищённого соединения и настройкой доступа по заранее созданым для клиентов сертификатам. Вот тут пошаговая и с картинками инструкция https://medium.com/@hafizmoham... aef4174ddb К сожалению у меня сейчас нет возможности собрать стенд и помочь в деталях решить проблему. Но по всем ссылкам что я привёл понятно что там нет ничего сложного. Для чёткой картины погуглите слова PKI / ADCS. Я подозреваю что Вы и так все знаете.
1
|
0 / 0 / 0
Регистрация: 18.03.2018
Сообщений: 5
|
|
19.03.2018, 20:09 [ТС] | 7 |
rab8bit,
Я опробовал схему по мануалу, но до идеального состояния довести не удалось. Добавлено через 56 секунд Может я мог бы предоставить стенд? через Ammyy например
0
|
10 / 9 / 2
Регистрация: 07.02.2018
Сообщений: 41
|
|
20.03.2018, 09:55 | 8 |
Это очень щедро )) но у меня проблема не в ресурсах а во времени.
Мне самому интересно разобраться в нюансах. Я попробую заняться этим вопросом в ближайшее время, просто сейчас много основной работы. Однако не могли бы Вы подробно описать что значит
0
|
0 / 0 / 0
Регистрация: 18.03.2018
Сообщений: 5
|
|
20.03.2018, 22:27 [ТС] | 9 |
В целом вопросов больше, чем ответов. Судя по всем мануалам нигде не рассматривается вариант с AD, прихожу к выводу, что он не нужен? Так же не понятно, как в этом случае использовать SSL сертификат Comodo PositiveSSL? Который приобретался для авторизации. Ну и собственно зайти пока на сайт используя сертификат тоже не удалось =(
Сейчас снёс АД и буду дальше пробовать варианты.... -В случае с АД и пошаговой с картинками инструкции https://medium.com/@hafizmoham... aef4174ddb - ошибка "Каталог не доступен или сайт перемещён....." -В случае с https://blogs.msdn.microsoft.c... tificates/ - *.pfx установленный на стороне клиента не активен Добавлено через 23 минуты https://blog.jayway.com/2014/1... plication/ - сейчас рассматриваю этот вариан Добавлено через 6 часов 6 минут Победил. AD+CS в принципе не нужен, всё делается на IIS !!!! Необходимо добавить ключ в реестр IIS\HLM\SYSTEM\CurrentControl\Control\SecurityProviders\SCHANNEL ключ REG_DWORD с именем ClientAuthTrustMode и значением 2 Последовательность действий лучше всего описана https://blog.jayway.com/2014/1... plication/ Но создавал сертификаты через CMD, нужно создать каталог например c:\cert и туда положить два файла(скачать из инета) makecert.exe и pvk2pfx.exe и создать текстовый фаил в который вставить текст ниже, заменить значения "CN=" и изменить расширение у файла на .cmd и выполнить, когда будет останавливаться на паузу нажимать кнопку, когда будет просить пароль вводить 123: ::CA Root 1.pfx установить в доверенные центры в Локальные компьютеры на сервере IIS и на Клиенте makecert.exe -r -n "CN=ИМЯ СЕРВЕРА IIS!!!!!!!!!" -pe -sv 1.pvk -a sha1 -len 2048 -b 01/01/2017 -e 01/01/2027 -cy authority 1.cer pause pvk2pfx.exe -pvk 1.pvk -spc 1.cer -pfx 1.pfx -po 123 pause ::SSL 2.pfx установить на IIS в привязки для HTTPS или можно использовать купленный SSL makecert -iv IISCA.pvk -ic IISCA.cer -pe -n "CN=ИМЯ ДОМЕНА!!!!!" -sv f2.pvk 2.cer -e 11/27/2021 -len 2048 -a sha1 pause pvk2pfx.exe -pvk 2.pvk -spc 2.cer -pfx 2.pfx -po 123 ::Client 3.pfx на стороне клиента установить в личные у пользователя makecert.exe -iv 1.pvk -ic 1.cer -n "CN=ЛЮБОЕ ИМЯ" -pe -sv 3.pvk -a sha1 -len 2048 -b 01/01/2017 -e 01/01/2027 -sky exchange 3.cer -eku 1.3.6.1.5.5.7.3.2 pause pvk2pfx.exe -pvk 3.pvk -spc 3.cer -pfx 3.pfx -po 123 pause Добавлено через 4 часа 54 минуты Поправочка: ::SSL 2.pfx установить на IIS в привязки для HTTPS или можно использовать купленный SSL makecert -iv 1.pvk -ic 1.cer -pe -n "CN=ИМЯ ДОМЕНА!!!!!" -sv f2.pvk 2.cer -e 11/27/2021 -len 2048 -a sha1 pause pvk2pfx.exe -pvk 2.pvk -spc 2.cer -pfx 2.pfx -po 123
0
|
10 / 9 / 2
Регистрация: 07.02.2018
Сообщений: 41
|
|
23.03.2018, 08:32 | 10 |
Поздравляю Вас коллега
Спасение утопающих - дело рук самих утопающих. Хотелось бы почитать мануал, но что-то при переходе 404 ошибку получаю. Видимо не успел. АД действительно не нужен для установки корневого центра сертификации. Но все зависит от реализации - изолированный корневой ЦС или нет. Если я правильно понял то вот этот мануал что я кидал ранее https://medium.com/@hafizmoham... aef4174ddb тоже решает Вашу проблему только без покупки SSL для сервера.
0
|
23.03.2018, 08:32 | |
23.03.2018, 08:32 | |
Помогаю со студенческими работами здесь
10
Серверная база 1С Розница 2.1 на IIS, win7: периодически зависает роль IIS. Как передать переменную сессии из IIS одной платформы в IIS на другой платформе Переключение сервера в проекте с IIS Express на локальный сервер IIS выдаёт ошибку Ошибка IIS: для этой операции необходим интегрированный режим конвейера служб iis Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |