Имя: Пароль:
IT
Админ
Сертификаты SSL на web сервер.
0 Pilokarpios
 
08.12.17
11:12
Люди практикующие или знающие ssl, подскажите пожалуйста, я недопонимаю эту тему, т.к. практически никогда с ней не сталкивался.

Сам я 1С ник, и хочу организовать безопасный доступ к web серверу через SSL, т.к вариант vpn не прокатил, т.к. юзеры постоянно отваливаются, а автоматическое соединение с сервером vpn происходит постоянно через задницу, vpn не практичен, но я уверен, что есть решения, которые держат/восстанавливают постоянное vpn соединение.

В общем почитав кучу информации смешанной с рекламой SSL у меня возникла следующая модель, которую я попытался реализовать:

1. С помощью OPEN SSL, создается корневой сертификат
2. Далее, создается именной сертификат для каждого пользователя, он устанавливается у него на машине, если юзеру нужно перекрыть доступ, его сертификат аннулируется.

два раза с перерывами я мучался в итоге получилось, но браузер пишет, что сертификат не является подленным и без настроек в браузере работать с веб сервером не получиться.

Причина: конечно же, в том, что корневой сертификат создан мною и он не является доверенным.

Извиняюсь что много написал, это для того, может меня ткнут носом в корень и я на ложном пути?

Собственно вопрос: Подскажите пожалуйста тариф для SSL чтобы :
1. Установить корневой ssl на web server
2. Выписывать индивидуальные ssl для юзеров

Это возможно, может я грабли на велосипеде катаю? Как можно организовать индивидуальный защищенный доступ к вэб серверу не используя vpn или авторизацию системы? Спасибо за ответы.
1 DmitrO
 
08.12.17
11:23
Для того чтобы организовать защищенный доступ, нужно иметь только обычный серверный сертификат для веб сервера на доменное имя.
Его проще купить, они не дорогие.

Настроить веб сервер установив туда сертификат сделать привязку по https и запретить доступ по http.

Авторизация в 1С будет по пользователю и паролю 1С, но трафик будет уже шифрованный, поэтому соединение будет защищено.
Рабочие станции настраивать будет не нужно вовсе.
2 Pilokarpios
 
08.12.17
11:32
(1) Спасибо за ответ, но любой пользователь сможет подключаться к авторизации 1С, а этого не надо, доступ должен блокироваться на уровне web срвера. Поэтому я предлагаю рассмотреть дочерние (пользовательские) сертификаты
3 DmitrO
 
08.12.17
11:37
А на счет авторизации по сертификату пользователя, это история более длинная.

Во-первых их надо будет генерить самому, для этого нужен сертификат с возможностью выписки дочерних, это дороже (можно конечно самоподписанный, но не факт что получится с ним в 1С).
Во-вторых эти сертификаты нужно передать на комп пользователя, и указывать при запуске тонкого клиента. Понятно что эти файлы пользователи могут и будут копировать. )
4 arsik
 
гуру
08.12.17
11:40
(0) Не обязательно подключатся браузером.
Я бы сделал подключение клиентом 1С. Ему все равно какой сертификат, глобальный или локальный. На веб сервере бы указал авторизацию по сертификату. В 1С бы импортировал сертификаты клиентов.
5 eklmn
 
гуру
08.12.17
11:40
(1) а чем бесплатный не подходит? https://www.startcomca.com/
6 DmitrO
 
08.12.17
11:42
И еще, да, чета я не уверен что авторизация в 1С произойдет по пользовательскому сертификату..
Собственно как оно сопоставится-то с пользователем 1С?

Сертификат только позволит дойти до веб сервера.
Поэтому авторизация 1С все равно будет паролем.
7 DmitrO
 
08.12.17
11:43
(4)>>В 1С бы импортировал сертификаты клиентов.
Куды это "в 1С". :)
8 arsik
 
гуру
08.12.17
11:44
(7)

Использование клиентских сертификатов (только для тонкого клиента)
/HttpsCert [-windows] [-recent] [-auto] [-choose] [-file <path>] [-pwd <password>] [-none] — указывает источник клиентского сертификата. Если данный параметр не указан, то источник клиентского сертификата определяется настройками диалога настройки соединения с информационной базой.  (Используется только в тонком клиенте!)

-windows — указывает, что при соединении нужно использовать клиентский сертификат из системного хранилища сертификатов операционной системы Microsoft Windows. Данная опция игнорируется, если установленовлена хотя бы одна из опций -file или –none.

-recent — выбирать или использовать ранее выбранный клиентский системный сертификат Microsoft Windows.

Если в системном хранилище пользовательских сертификатов присутствует более одного подходящего сертификата, то пользователю предоставляется выбор используемого сертификата через системный диалог выбора сертификата. В дальнейшем выбранный сертификат используется автоматически.

Данный способ выбора клиентского сертификата выбран по умолчанию для опции -windows, если опции -auto и -choose не установлены. Данный параметр игнорируется.

-auto — использовать автоматически выбранный клиентский сертификат из установленных в системном хранилище сертификатов операционной системы Microsoft Windows. Данный параметр игнорируется, если у параметра отсутствует опция –windows.

-choose — всегда выбирать используемый клиентский сертификат Microsoft Windows.

Если в системном хранилище пользовательских сертификатов присутствует более одного подходящего сертификата, то пользователю предоставляется выбор используемого сертификата через системный диалог выбора сертификата независимо от того, был ли ранее выбран какой-либо сертификат. Выбранный сертификат в дальнейшем может использоваться автоматически с опцией –recent.

Данную опцию можно указать, если необходимо избежать автоматического использования ранее выбранного клиентского сертификата из системного хранилища сертификатов операционной системы Microsoft Windows, и выбрать новый сертификат из установленных в системе сертификатов подходящих для данного соединения. Данный параметр игнорируется, если у параметра отсутствует опция -windows или установлена опция -auto.

-file <path> — указывает, что необходимо использовать клиентский сертификат и приватный ключ из указанного файла. Данный параметр игнорируется, если у параметра установлена опция -none.

-pwd <password> — указывает пароль файла, содержащего клиентский сертификат и его приватный ключ. Если сервер требует предоставления клиентского сертификата и файл сертификата защищен паролем, то соединение возможно только при правильно указанном пароле. Данная опция игнорируется, если у данного параметра не указана опция -file.

-none — указывает, что клиентский сертификат не используется. Соединение возможно только с серверами, не требующими проверки клиентского сертификата.

Если ни одна из опций -windows, -file или -none не установлена, то параметр /HttpsCert игнорируется.

/HttpsCA [-windows] [-file <path>] [-pwd <password>] [-none] — указывает источник CA сертификатов, используемых для проверки сертификата сервера.  Если данный параметр не указан, то источник сертификатов CA  определяется настройками диалога настройки соединения с информационной базой. (Используется только в тонком клиенте!)

-windows — указывает, что для проверки сертификата сервера при соединении нужно использовать сертификаты CA из системного хранилища сертификатов операционной системы Microsoft Windows. Данный параметр игнорируется, если установлена хотя бы одна из опций параметра -file или -none.

-file <path> — указывает, что для проверки сертификата сервера при соединении нужно использовать сертификаты CA загружаемые из указанного файла. Данный параметр игнорируется, если установлена опция параметра -none.

-pwd <password> — пароль файла, содержащего сертификаты CA. Если файл сертификата защищен паролем, то соединение возможно только при правильно указанном пароле. Данный параметр игнорируется, если у данного параметра не указана опция -file.

-none — указывает, что сертификаты CA не используются и сертификат сервера не проверяется.

Если ни одна из опций -windows, -file или -none не установлена, то параметр /HttpsCA игнорируется.



/HttpsForceSSLv3 — определяет принудительное использование протокола SSL версии 3.0 тонким клиентом при работе через веб-сервер с помощью протокола HTTPS.
Внимание! Одновременное использование с параметром HTTSForceTLS1_0 не допускается.

/HttpsForceTLS1_0 — определяет принудительное использование протокола TLS версии 1.0 тонким клиентом при работе через веб-сервер с помощью протокола HTTPS.
Внимание! Одновременное использование с параметром HTTSForceSSLv3 не допускается.
9 arsik
 
гуру
08.12.17
11:47
(6) Все правильно. Сертификат позволит пройти веб и дойти до 1С. Там своя авторизация.
10 DmitrO
 
08.12.17
11:51
(6)+
Я думаю, что это возможно только с доменным олицетворением, т.е. пользователей заносить в AD, сертификаты пользователей тоже в AD, да собственно она их выдавать должна тогда.
Есть там такое.

В 1С прописать авторизацию ОС. И молится чтобы IIS делал олицетворение. Вот тогда заработает автоматический вход в 1С.
11 Pilokarpios
 
08.12.17
12:06
в общем надо покупать SSL за 10$, лишним не будет и экспериментировать.
12 Pilokarpios
 
08.12.17
12:09
(5) Это халявный SSL, можно на сайт вешать?
13 Biker
 
08.12.17
12:57
(5)(12) помер он, не доверяют ему, c 01.01.18 прекращают выпуск
14 Exec
 
08.12.17
13:08
(0) поставь certbot, к простая команда, и забудь продлении, настрйоке и т.д. Будет вечный, валидный, сам прицепитсья, сам настроится
15 Exec
 
08.12.17
13:08
+(14) + он бесплатный
Программист всегда исправляет последнюю ошибку.