Форум Kerio-rus  

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 07.04.2015, 20:06   #21
Recovered Uranium
 
Регистрация: 20.03.2015
Адрес: Новороссия , Тирасполь
Сообщений: 10
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

не пропускает на https и ругается на сертификат.
у меня та же проблема или что то другое?
на какую версию тогда переходить?
Изображения
Тип файла: jpg сертификат.jpg (74.4 Кб, 72 просмотров)
Recovered Uranium вне форума   Ответить с цитированием Вверх
Старый 08.04.2015, 02:07   #22
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

В проблемах чужих сертификатов керио точно не виноват, не надо пока переходить. Да и с собственным кериевским достоверно пока неизвестно на чьей стороне ошибка.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 08.04.2015, 16:34   #23
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,689
Поблагодарили 171 раз(а) в 140 сообщениях
По умолчанию Re: Сертификат

Цитата
Сообщение от BAMBARBIA Посмотреть сообщение
Да и с собственным кериевским достоверно пока неизвестно на чьей стороне ошибка.
имхо косяк браузера
в частности фаерфокса, ибо IE и Chrome кериовский сертификат отрабатывают как надо
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 09.04.2015, 07:01   #24
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

А у моего знакомого наоборот Chrome выкобенивается. Специально попросил прислать мне экпортированые сертификаты, у меня ошибка воспроизвелась ровно таким же образом. Могу выложить сюда рутовый и дочерний вместе с ключами, дочерний выпущен на 192.168.0.1.


вот сертификат нормального человека: [Для просмотра данной ссылки нужно зарегистрироваться]

а вот сертификат курильщика: [Для просмотра данной ссылки нужно зарегистрироваться]

и он же на осле: [Для просмотра данной ссылки нужно зарегистрироваться]

хром один и тот же, свежеобновлённый, на одной и той же машине, разница между скринами 5 минут.

Есть одна мысля. Как видно на скринах, в свежей керии дочерним сертификатам перестали выдаваться все подряд OID, оставили только два, 1.3.6.1.5.5.8.2.2 для ipsec и 1.3.6.1.5.5.7.3.1 для собственно serverAuth. Больше сертификаты не различаются ничем, не считая алгоритмов шифрования. Есть подозрения что как раз в наборе OID и зарыта собака, если ослику этого набора хватает, а хром хочет что-то ещё. Какой минимальный набор нужен хрому и не дохуя ли хром просит - вопрос открытый.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 09.04.2015, 10:51   #25
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,689
Поблагодарили 171 раз(а) в 140 сообщениях
По умолчанию Re: Сертификат

да, странно это всё
заметил что огнелис никак не идёт по имени, но идёт по IP
при чём адрес по IP внесён в исключения

отключил хттпс, всёравно вне локалки веб-интерфейс не используется
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 10.04.2015, 08:43   #26
lext89
 
Регистрация: 28.05.2013
Сообщений: 12
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

техподдержка сказала, что это не ошибка КЕРИО, так что идите лесом.
lext89 вне форума   Ответить с цитированием Вверх
Старый 10.04.2015, 10:22   #27
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,689
Поблагодарили 171 раз(а) в 140 сообщениях
По умолчанию Re: Сертификат

привет фаерфоксу с хромом, всё верно
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 13.04.2015, 02:06   #28
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Стоит уточнить у техподдержки какие браузеры тогда они официально рекомендуют, раз по их мнению в двух популярнейших присутствует ошибка. Сафари?
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 13.04.2015, 06:20   #29
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию Re: Сертификат

Саппорт не виноват. Это производители закручивает гайки на https, а Google просто делает немножка раньше. Возьмите IE 8 например - уверен все откроется. Админконсоль workspace вообще перестала открываться по https на всех без исключения новых браузерах. К сожалению workspace умер и я его просто потушил.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 13.04.2015, 07:08   #30
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Что-то я туплю, понедельник наверное сказывается. Я всегда думал что закручивание гаек - это отказ от небезопасных устаревших способов в пользу современных и безопасных. Вопрос, как именно Гугел и иже с ними закрутили гайки таким образом, что старый небезопасный керио нормально работает, а новый безопасный - нет?

upd. Нашёл дистрибутив старого хрома примерно двухлетней давности. Он тоже не принимает новую керию и принимает старую.

Последний раз редактировалось BAMBARBIA; 13.04.2015 в 08:47.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 13.04.2015, 19:54   #31
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,549
Поблагодарили 22 раз(а) в 16 сообщениях
По умолчанию Re: Сертификат

могу предположить, что проблема в версиях SSL
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 14.04.2015, 04:49   #32
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Цитата
Сообщение от lext89 Посмотреть сообщение
техподдержка сказала, что это не ошибка КЕРИО, так что идите лесом.
lext89
Они указали причину ошибки скажем в механизмах браузеров или чем-нибудь таком, или отписались в стиле "с моей стороны пуля вылетела, проблемы у вас"?
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 14.04.2015, 19:52   #33
naliman
особый
 
Аватар для naliman
 
Регистрация: 19.06.2006
Сообщений: 13,689
Поблагодарили 171 раз(а) в 140 сообщениях
По умолчанию Re: Сертификат

Цитата
Сообщение от BAMBARBIA Посмотреть сообщение
или отписались в стиле "с моей стороны пуля вылетела, проблемы у вас"?
так понятно же всё вроде:
техподдержка сказала, что это не ошибка КЕРИО, так что идите лесом.
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 20.05.2015, 09:18   #34
Rapuha87
 
Регистрация: 12.05.2015
Сообщений: 5
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Цитата
Сообщение от BAMBARBIA Посмотреть сообщение
-Ошибка несоответствия имён происходит потому что ты сертификат генерируешь на имя хоста "Control", а заходишь на адрес "192.168.0.1".
-Ошибка недоверия сертификату происходит потому что в доверенные надо добавлять родительский самоподписанный сертификат самого сервера, а не сгенерированный вами (дочерний).

Энстругция.
0. IP шлюза тут я принимаю за 192.168.0.1, ставим свой.
1. удали из сертификатов всё нахрен. на предупреждения не обр. внимания.
2. жми "добавить" - "новый сертификат для локального центра". Напиши в имени хоста "Kerio Local Authority" чтобы не запутаться и срок 10 лет поставь. Страна Сомали. Это твой корневой сертификат.
3. жми "добавить" - "новый сертификат". имя хоста "192.168.0.1" на 10 лет. Это твой дочерний сертификат, которым будет представляться шлюз.
4. Экспортируй в файл сертификат Kerio Local Authority. (дополнительные действия-экспорт-экспортировать сертификат в PEM)
5. Установи сертификат Kerio Local Authority в хранилище "доверенные корневые центры сертификации"
6. Замени в керио SSL-сертификат веб-интерфейса на новый с айпишником.
7. закрой браузер, перезаходи на шлюз строго через "https://192.168.0.1/admin".
8. всё должно быть нормально.

необязательно:
9. галочку о несоответствии имени можно поставить на место, теперь адрес соответствует сертификату.
10. почисти все остальные доверенные места от того что ты там наставил.


з.ы. если необходимо, пиши, я разжую вплоть до каждой кнопочки.
______________________________________
как это выглядит у меня:

вот что происходит если мой шлюз представляется сертификатом с именем хоста "control". обрати внимание на выделенные строки.
[Для просмотра данной ссылки нужно зарегистрироваться]

а вот тут я поменял сертификат на имя хоста "192.168.100.1"
ошибка, связанная с именем пропала, ошибка доверия осталась.
[Для просмотра данной ссылки нужно зарегистрироваться]

теперь я добавил родительский сертификат в доверенные корневые центры сертификации и ошибок нет.
[Для просмотра данной ссылки нужно зарегистрироваться]
После обновления kerio c 6й версии до 7.4 столкнулся с этой вот штукой и что делать не особо понимаю, никогда не игрался с сертификатами...
Так вот где производить эти действия то? Ни в оснастке керио ни в certmgr.msc я этого не нашел...
Rapuha87 вне форума   Ответить с цитированием Вверх
Старый 20.05.2015, 09:45   #35
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Это проделывается в разделе "Сертификаты SSL" панели администрирования Керио, на скрине слева внизу.



Если вы её не видите у себя, выложите скрин своей открытой панели управления.
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 20.05.2015, 10:25   #36
Rapuha87
 
Регистрация: 12.05.2015
Сообщений: 5
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Вот так у меня выглядит панель...и почему-то такого пункта нет Сертификаты SSL
[Для просмотра данной ссылки нужно зарегистрироваться]
Rapuha87 вне форума   Ответить с цитированием Вверх
Старый 20.05.2015, 10:43   #37
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Не оченьхорошо помню интерфейс седьмых (кстати зачем на седьмую перешли в 2015 то году?). А что появляется если нажать на эту кнопку?



зы. радикал зло. Пользуйтесь imgur
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 20.05.2015, 10:56   #38
Rapuha87
 
Регистрация: 12.05.2015
Сообщений: 5
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Если на жать на ту кнопочку появляется такое - [Для просмотра данной ссылки нужно зарегистрироваться].
А перешли потому что один чудо сайт неадекватно грузился с сети. толишь на одной машине в лёд залетал, на другой ждали по 2 минуты загрузки главной страницы...вот и решили для начала с 6й жо 7й обновить версии.
Rapuha87 вне форума   Ответить с цитированием Вверх
Старый 20.05.2015, 11:04   #39
BAMBARBIA
Песака
 
Регистрация: 05.05.2012
Сообщений: 69
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

ХМ. Ок, доберусь до машины с седьмой, расскажу точнее.

Хотите сказать, что этот сайт грузится адекватно только через устаревшую на текущий момент 7.* версию, а через актуальную версию 8.5 глючит?
BAMBARBIA вне форума   Ответить с цитированием Вверх
Старый 20.05.2015, 11:07   #40
Rapuha87
 
Регистрация: 12.05.2015
Сообщений: 5
Поблагодарили 0 раз(а) в 0 сообщениях
По умолчанию Re: Сертификат

Ну вообщемто по большому счёту ничего и не изменилось...а текущую 8,5 актуальную некуда повесить, а на виртуальную машину нет желания вешать.
Rapuha87 вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 05:36. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях