Win2012 AD+CS+IIS+1C83

ДОбрый день
Установил два сервера win 2012,
На первом: AD+CS ; второй включен в этот домен и на нём iis8+1c8.3server
Зарегистрировал домен, а-зоной пробросил его до своего IP адреса, за которым стоит сервер.
dst-nat пробросил 80 и 443 порты до IISа, на IIS в брендмауре открыл 80 и 443
на IIS подключил сайт #ИмяДомена.ru
На IIS создал Сертификат домена и по нему привязал 443 порт к домену.
Опубликовал базу «Client» в 1с 8.3 на сервере IIS в каталоге c:\site\1c , в котором опубликован сайт c:\site
Если у опубликованной 1с «Client» с настройками SSL игнорировать, извне подключиться по https://ИмяДомена.ru/Client то всё нормально, 1с откроется.
Если у опубликованной 1с «Client» с настройками SSL — Требовать SSL/Требовать, извне подключиться по https://ИмяДомена.ru/Client то выдаёт ошибку: 403 — запрещено. Доступ запрещен.
Как создать сертификат, который нужно установить на клиенте, что бы работал авторизация по SSL?

0

Если я правильно понял Вашу затею, то Вам всем клиентам нужно прописать корневой сертификат с сервера сертификации на котором Вы создавали сертификат для SSL.
Это большой геморой для внешних пользователей. всем не раздашь и всем не объяснишь как установить.
По этому рекомендую использовать это https://letsencrypt.org/
Это бесплатно и можно настроить авто продление.

0

Так в этом и есть смысл, что бы ограничить доступ к сайту людям, у которых нет сертификата.

Я правильно понял, конечному пользователю необходимо установить сертификат, который был указан мной при публикации https и 443 порта на IIS?
Но это не работает, или может его нужно устанавливать как то особенным методом?
- Везде в мануалах MS написано, что необходимо создать Клиентский сертификат, а как его создать не нашёл.... /

Добавлено через 3 минуты
Если у опубликованной 1с «Client» с настройками SSL — Требовать SSL/Требовать, извне подключиться по https://ИмяДомена.ru/Client то выдаёт ошибку: 403 — запрещено. Доступ запрещен.
Как создать сертификат, который нужно установить на клиенте, что бы работал авторизация по SSL с настойками IIS8 : Настройка SSL - Требовать SSL - Требовать

0

Так СТОП. Изначально Вы описали так как будто Вы хотите предоставить доступ к 1С но безопасно и для этого завели SSL.
А теперь доступ нужен только тем у кого сертификат, тогда.( С клиентским доступом по сертификатам я не сильно сталкивался на практике.) Но по теории,если я не ошибаюсь, Вам нужно рыть в сторону доступа к IIS по клиентским сертификатам.

Добавлено через 2 минуты
Я думаю что-то из этого Вам должно помочь
https://blogs.msdn.microsoft.c... tificates/
https://habrahabr.ru/post/96827/
https://social.technet.microso... orum=iisru

0

Да, где его(клиентский) взять??

Для https я создал доменный сертификат.....

Добавлено через 29 секунд

Сообщение от Syps На IIS создал Сертификат домена и по нему привязал 443 порт к домену.

Вот тут

Добавлено через 1 минуту
для HTTPS я также приобрёл Comodo PositiveSSL для "надёжного узла" =)

0

Клиентский сертификат выписывается центром сертификации. Вы первом посте Вы писали что у Вас на первом сервере AD+CS. Из этого следует, что вы можете использовать PKI в пределах локального домена без проблем. То есть создать сертификат SSL для вашего Web сервера, который на втором сервере. Так же создать сертификат для сервера. так же создать клиентские сертификаты. У Вас задача ограничить доступ к Web серверу пользователей у кого нет клиентского сертификата.
Есть отличия от простой привязки к IIS ssl сертификата для защищённого соединения и настройкой доступа по заранее созданым для клиентов сертификатам.
Вот тут пошаговая и с картинками инструкция https://medium.com/@hafizmoham... aef4174ddb

К сожалению у меня сейчас нет возможности собрать стенд и помочь в деталях решить проблему. Но по всем ссылкам что я привёл понятно что там нет ничего сложного.

Для чёткой картины погуглите слова PKI / ADCS.

Я подозреваю что Вы и так все знаете.

1

rab8bit,

Я опробовал схему по мануалу, но до идеального состояния довести не удалось.

Добавлено через 56 секунд

Сообщение от rab8bit К сожалению у меня сейчас нет возможности собрать стенд и помочь в деталях решить проблему. Но по всем ссылкам что я привёл понятно что там нет ничего сложного.

Может я мог бы предоставить стенд? через Ammyy например

0

Это очень щедро )) но у меня проблема не в ресурсах а во времени.
Мне самому интересно разобраться в нюансах. Я попробую заняться этим вопросом в ближайшее время, просто сейчас много основной работы.

Однако не могли бы Вы подробно описать что значит

но до идеального состояния довести не удалось.

Что бы понимать к чему стремимся

0

В целом вопросов больше, чем ответов. Судя по всем мануалам нигде не рассматривается вариант с AD, прихожу к выводу, что он не нужен? Так же не понятно, как в этом случае использовать SSL сертификат Comodo PositiveSSL? Который приобретался для авторизации. Ну и собственно зайти пока на сайт используя сертификат тоже не удалось =(
Сейчас снёс АД и буду дальше пробовать варианты....
-В случае с АД и пошаговой с картинками инструкции https://medium.com/@hafizmoham... aef4174ddb - ошибка "Каталог не доступен или сайт перемещён....."
-В случае с https://blogs.msdn.microsoft.c... tificates/ - *.pfx установленный на стороне клиента не активен

Добавлено через 23 минуты
https://blog.jayway.com/2014/1... plication/ - сейчас рассматриваю этот вариан

Добавлено через 6 часов 6 минут
Победил.

AD+CS в принципе не нужен, всё делается на IIS

!!!! Необходимо добавить ключ в реестр IIS\HLM\SYSTEM\CurrentControl\Control\Se curityProviders\SCHANNEL ключ REG_DWORD с именем ClientAuthTrustMode и значением 2

Последовательность действий лучше всего описана https://blog.jayway.com/2014/1... plication/

Но создавал сертификаты через CMD, нужно создать каталог например c:\cert и туда положить два файла(скачать из инета) makecert.exe и pvk2pfx.exe и создать текстовый фаил в который вставить текст ниже, заменить значения "CN=" и изменить расширение у файла на .cmd и выполнить, когда будет останавливаться на паузу нажимать кнопку, когда будет просить пароль вводить 123:

::CA Root 1.pfx установить в доверенные центры в Локальные компьютеры на сервере IIS и на Клиенте

makecert.exe -r -n "CN=ИМЯ СЕРВЕРА IIS!!!!!!!!!" -pe -sv 1.pvk -a sha1 -len 2048 -b 01/01/2017 -e 01/01/2027 -cy authority 1.cer
pause
pvk2pfx.exe -pvk 1.pvk -spc 1.cer -pfx 1.pfx -po 123
pause


::SSL 2.pfx установить на IIS в привязки для HTTPS или можно использовать купленный SSL

makecert -iv IISCA.pvk -ic IISCA.cer -pe -n "CN=ИМЯ ДОМЕНА!!!!!" -sv f2.pvk 2.cer -e 11/27/2021 -len 2048 -a sha1
pause
pvk2pfx.exe -pvk 2.pvk -spc 2.cer -pfx 2.pfx -po 123


::Client 3.pfx на стороне клиента установить в личные у пользователя

makecert.exe -iv 1.pvk -ic 1.cer -n "CN=ЛЮБОЕ ИМЯ" -pe -sv 3.pvk -a sha1 -len 2048 -b 01/01/2017 -e 01/01/2027 -sky exchange 3.cer -eku 1.3.6.1.5.5.7.3.2
pause
pvk2pfx.exe -pvk 3.pvk -spc 3.cer -pfx 3.pfx -po 123
pause

Добавлено через 4 часа 54 минуты
Поправочка:

::SSL 2.pfx установить на IIS в привязки для HTTPS или можно использовать купленный SSL

makecert -iv 1.pvk -ic 1.cer -pe -n "CN=ИМЯ ДОМЕНА!!!!!" -sv f2.pvk 2.cer -e 11/27/2021 -len 2048 -a sha1
pause
pvk2pfx.exe -pvk 2.pvk -spc 2.cer -pfx 2.pfx -po 123

0

Поздравляю Вас коллега
Спасение утопающих - дело рук самих утопающих.

Хотелось бы почитать мануал, но что-то при переходе 404 ошибку получаю. Видимо не успел.

АД действительно не нужен для установки корневого центра сертификации. Но все зависит от реализации - изолированный корневой ЦС или нет.

Если я правильно понял то вот этот мануал что я кидал ранее https://medium.com/@hafizmoham... aef4174ddb тоже решает Вашу проблему только без покупки SSL для сервера.

0