Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 09.08.2006, 11:40   #1
TT
 
Регистрация: 09.08.2006
Адрес: Ытык-Кюель, Россия
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Ежедневно появляется сообщение, при первом выходе в инет:
"Вы попытались установить соединение с "gate".
Предъявленный сертификат принадлежит "c1bcae4b-6f95-41...". Возможно, но маловероятно, что кто-то попытаеться перехватить информацию, которой вы обмениваетесь с этим сайтом.
Если вам кажется, что показанный сертификат не принадлежит "gate", прервите соединение и предупредите об этом администратора сайта."
Как избавится от этого сообщения появляющегося у всех? Куда его засунуть и откуда - чтоб больше незапаривал?
Конф: Winrout 6.2.1, Server: AD

Ну начнем конечно с пинков ламера)
TT вне форума   Ответить с цитированием Вверх
Старый 10.08.2006, 07:09   #2
TT
 
Регистрация: 09.08.2006
Адрес: Ытык-Кюель, Россия
Сообщений: 2
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

Все просто - надо было просто принять сертификат)
TT вне форума   Ответить с цитированием Вверх
Старый 10.08.2006, 08:20   #3
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,516
Поблагодарили 147 раз(а) в 118 сообщениях
По умолчанию

у тя вероятно авторизация включена и HTTPS страничка выводится?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 10.09.2010, 11:33   #4
sja
Песака
 
Аватар для sja
 
Регистрация: 03.09.2008
Адрес: Москва
Сообщений: 57
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию

а если после приема, и установки сертификата во все возможные каталоги, всё равно его запрашивает во всех браузерах:
chrome - идентификационные данные этого веб узла не проверены
ie - не совпадающий адресс
что то подобное в ff и сафари
как можно сделать что бы не запрашивал сертификат а сразу перекидывал на страницу с авторизацией
__________________
i will drink myself to the hospital

Последний раз редактировалось sja; 10.09.2010 в 13:07.
sja вне форума   Ответить с цитированием Вверх
Старый 12.09.2013, 09:47   #5
Stal
 
Регистрация: 12.09.2013
Сообщений: 7
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Здравствуйте. Запарился с настройкой серт. Подскажите подробную установку и настройку сертификатов. Постоянно вылазиют ошибки.

Stal вне форума   Ответить с цитированием Вверх
Старый 12.09.2013, 10:48   #6
Dros2008
 
Регистрация: 23.06.2009
Адрес: Пришахтинск Карагандиская обл.
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Если домен, решается помещением сертификата с компа с керио в доверенные на DC, если нет домена, придется пробежаться по всем компам и принять сертификат. Заодно в браузерах (я использую IE, про все не скажу) поместить узел керио в местную интрасеть (узел вида [Для просмотра данной ссылки нужно зарегистрироваться])
Более подробно сейчас написать не могу.
Dros2008 вне форума   Ответить с цитированием Вверх
Старый 24.09.2013, 08:54   #7
Stal
 
Регистрация: 12.09.2013
Сообщений: 7
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Домена нет. Сертификат установил. Узел прописал.
Ошибка: указан. в серт. название неправильно или не совпадает с названием узла. (IE)
Ошибка: вы пытаетесь перейти на сайт 192.168.0.1 однако были направлен. на сервер Control. (Chrom)
Помогите с установкой. Есть вариант отключить совсем запрос сертификата.

Кому категорично мешает или просто не удобен сертификат при аутентификации пользователей для выхода в интернет, необходимо сделать следующее:
1. Выключить керио
2. Открыть файл winroute.cfg
3. Найти раздел: Administration и изменить следующие строки
- <variable name="WebAdmHTTPSRedirect">1</variable> на <variable name="WebAdmHTTPSRedirect">0</variable>
- <variable name="HTTPSPriority">1</variable> на <variable name="HTTPSPriority">0</variable>
4. Запустить керио.

Добавлено через 2 часа 57 минут
Отключить полностью серт. как написано выше не удалось. Неужели только у меня такая проблема с установкой серт. Почему он не хочет устанавливаться нормально?

Последний раз редактировалось Stal; 24.09.2013 в 11:52. Причина: Добавлено сообщение
Stal вне форума   Ответить с цитированием Вверх
Старый 24.09.2013, 17:47   #8
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,516
Поблагодарили 147 раз(а) в 118 сообщениях
По умолчанию Re: Сертификат

Цитата
Сообщение от Stal Посмотреть сообщение
Почему он не хочет устанавливаться нормально?
имя, сестря, ИМЯ!
имя хоста с керио = ?
имя в сертификате = ?
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 24.09.2013, 17:47   #9
Dros2008
 
Регистрация: 23.06.2009
Адрес: Пришахтинск Карагандиская обл.
Сообщений: 3
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Предложу такой подход: выделить 1-2 клиентских компа, завести в одну группу (раз нет домена) со шлюзом, именования компов строго латиница. На шлюзе сгенерить новый сертификат, проверить работоспособность. Исходя из результатов двигаться дальше.
Либо лучший вариант - прочесть правила формирования постов и таки следовать им.
Dros2008 вне форума   Ответить с цитированием Вверх
Старый 25.09.2013, 09:08   #10
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Цитата
Сообщение от Stal Посмотреть сообщение
Сертификат установил.
1. Скорее всего вы всё сделали правильно, но всё таки. Куда конкретно вы установили сертификат, в какое хранилище?

2. "указан. в серт. название неправильно или не совпадает с названием узла"
отключите галку "предупреждать о несоответствии адреса сертификата" во вкладке "дополнительно" свойств IE. Если не боитесь фишинга с подменой адресов в интернете, то ничего страшного не произойдёт. Я например генерил сертификат на сетевое имя сервера, а захожу по привычке всегда по 192.168.100.1.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 25.09.2013, 13:33   #11
Stal
 
Регистрация: 12.09.2013
Сообщений: 7
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Спасибо всем за помощь, но пока не получается.
Имя хоста = control
Имя в серт. = control
Шлюз и комп добавил в одну групп. Имя usera латинскими буквами
Добавлял серт. во все доверительные хранилища.
отключал галку "предупреждать о несоответствии адреса сертификата"
но проблема остается.
[Для просмотра данной ссылки нужно зарегистрироваться]
Напишите кому не сложно, подробно как устанавливали серт.
Stal вне форума   Ответить с цитированием Вверх
Старый 26.09.2013, 03:14   #12
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

-Ошибка несоответствия имён происходит потому что ты сертификат генерируешь на имя хоста "Control", а заходишь на адрес "192.168.0.1".
-Ошибка недоверия сертификату происходит потому что в доверенные надо добавлять родительский самоподписанный сертификат самого сервера, а не сгенерированный вами (дочерний).

Энстругция.
0. IP шлюза тут я принимаю за 192.168.0.1, ставим свой.
1. удали из сертификатов всё нахрен. на предупреждения не обр. внимания.
2. жми "добавить" - "новый сертификат для локального центра". Напиши в имени хоста "Kerio Local Authority" чтобы не запутаться и срок 10 лет поставь. Страна Сомали. Это твой корневой сертификат.
3. жми "добавить" - "новый сертификат". имя хоста "192.168.0.1" на 10 лет. Это твой дочерний сертификат, которым будет представляться шлюз.
4. Экспортируй в файл сертификат Kerio Local Authority. (дополнительные действия-экспорт-экспортировать сертификат в PEM)
5. Установи сертификат Kerio Local Authority в хранилище "доверенные корневые центры сертификации"
6. Замени в керио SSL-сертификат веб-интерфейса на новый с айпишником.
7. закрой браузер, перезаходи на шлюз строго через "https://192.168.0.1/admin".
8. всё должно быть нормально.

необязательно:
9. галочку о несоответствии имени можно поставить на место, теперь адрес соответствует сертификату.
10. почисти все остальные доверенные места от того что ты там наставил.


з.ы. если необходимо, пиши, я разжую вплоть до каждой кнопочки.
______________________________________
как это выглядит у меня:

вот что происходит если мой шлюз представляется сертификатом с именем хоста "control". обрати внимание на выделенные строки.
[Для просмотра данной ссылки нужно зарегистрироваться]

а вот тут я поменял сертификат на имя хоста "192.168.100.1"
ошибка, связанная с именем пропала, ошибка доверия осталась.
[Для просмотра данной ссылки нужно зарегистрироваться]

теперь я добавил родительский сертификат в доверенные корневые центры сертификации и ошибок нет.
[Для просмотра данной ссылки нужно зарегистрироваться]

Последний раз редактировалось BAMBARBIA; 26.09.2013 в 03:47.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 26.09.2013, 07:17   #13
Stal
 
Регистрация: 12.09.2013
Сообщений: 7
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

ОГРОМНОЕ, ОГРОМНОЕ СПАСИБО. Все получилось, почему нельзя так в инструкциях подробно все описать? Еще раз СПАСИБО.
Stal вне форума   Ответить с цитированием Вверх
Старый 26.09.2013, 07:38   #14
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

огромное на здоровье

"почему нет инструкций" - да есть инструкции, только они лежат не на полке "инструкции керио", а на полке "основы системы сертификации", как общее решение подобных задач.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 01.11.2013, 01:47   #15
barchester
 
Регистрация: 08.07.2012
Адрес: Южно-Сахалинск
Сообщений: 1
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Респект BAMBARBIA!
Тоже долго мудохался с этими сертификатами. Самым главным оказался 4-5 пункт твоей инструкции.

Последний раз редактировалось barchester; 01.11.2013 в 02:00.
barchester вне форума   Ответить с цитированием Вверх
Старый 01.11.2013, 04:27   #16
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

самое главное - Сомали поставить во втором, иначе волшебства не получится.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 07.04.2015, 09:55   #17
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Глубоко законспирированные сомалийские резиденты докладывают о странном поведении сертификатов HTTPS веб-морды Kerio Control версии 8.5.1 build 3235. Браузеры на базе Chrome отказываются верить предоставляемому веб-мордой сертификату, выдают ошибку с текстом net::ERR_CERT_COMMON_NAME_INVALID.. Проблема появляется в хроме и яндекс-браузере, а вот IE то же самое глотает без вопросов.

Наоборот тоже работает, если воткнуть в старый Kerio 8.1.1 сертификаты, снегерированные на новом 8.5.1, проблема воспроизводится.

скрины сабжа по ссылкам
[Для просмотра данной ссылки нужно зарегистрироваться]
[Для просмотра данной ссылки нужно зарегистрироваться]


Предположительно причина либо в излишне подозрительном Chrome делающем какие-то дополнительные проверки валидности сертификата, либо в баге на стороне Kerio, не добавляющем нужных разрешений в сертификат. На текущий момент рецепта не обнаружено. Единственное, что помогло, это перегенерировать сертификаты на другой версии Kerio Control и воткнуть их ручками. Сделанные на KCSA 8.1.1 patch 1 build 1019 сертификаты вылечили проблему полностью.




Техподдержка извещена, следствие ведется.

Последний раз редактировалось BAMBARBIA; 07.04.2015 в 11:44.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 07.04.2015, 11:19   #18
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,516
Поблагодарили 147 раз(а) в 118 сообщениях
По умолчанию Re: Сертификат

эта пидорская хуета у меня вчера произошла
по имени не работает, но работает по IP
не работает в огнелисе, хром нормально

хуеверть бля
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 07.04.2015, 12:09   #19
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Это что-то новенькое. Как видно по скринам, мы выпускали сертификат сразу на IP адрес, и именно хром его и не мог прожевать. ПО имени не пробовали, но подозреваю что эффект был бы тот же.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 07.04.2015, 13:15   #20
lext89
 
Регистрация: 28.05.2013
Сообщений: 12
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

посмотрим что саппорт ответит на эту проблему)
lext89 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 00:17. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях