Kerio Control vs Microsoft PKI

Если в корпоративной среде уже планируется или уже используеться инфраструктура открытого ключа на базе Microsoft PKI и вместе с тем Kerio Control разумно подписать сервисы Kerio Control сертификатом Microsoft PKI.

Сервисов всего два: VPN сервер и веб сервер, который предоставляет доступ к администрированию и просмотру статистики.

По-умолчанию Kerio Control использует самоподписанные сертификаты, к тому же не до конца заполненные.

Что ж, начнем мы с того что установим на один из свободных серверов под управлением Windows Server веб-сервер IIS и запросим сертификат у издающего центра.

В запросе укажем кроме огранизации, страны, отдела и т.п. два DNS имени – в локальной и глобальной сети. В моем примере это utm.office.local и utm.kagarlickij.kiev.ua

Подтвердим запрос, установим сертификат, перейдем в хранилище сертификатов (компьютер – личное) и экспортируем полученный сертификат в .pfx , защитив его паролем.

Таким же образом, тот же сертификат экспортируем без приватного ключа, в формате X.509 (.cer), а затем переименовываем utm.cer в utm.crt

Для дальнейших действий нам понадобится SSL Certificate Utility , скачаем и распакуем ее в C:sslcu

Теперь берем два файла, utm.crt и utm.pfx и переносим их в C:sslcu

Запускаем командную строку с правами администратора и выполняем следующие действия:

cd C:sslcu

dir

openssl.exe

pkcs12 -in utm.pfx -nocerts -out utm.pem

rsa -in utm.pem -out utm.key

По ходу дела вводим пароли, ничего сложного.

В итоге мы получаем utm.crt и utm.key , которые передаем в Kerio Control.

Кстати, сертификат на VPN устанавливается тут:

Снимок экрана 2013-01-13 в 22.21.58

 

.. а на веб сервер тут:

Снимок экрана 2013-01-13 в 22.23.01

 

 

Как видно на скриншетах, сертификаты в этой организации самоподписанные, хотя в других организациях предложенный метод успешно работает.

Так какие особенности нужно учетсь перед установкой корпоративных сертификатов?

Во-первых нужно иметь понимание что такое и зачем нужен PKI впринципе, знать основы работы.

Во-вторых нужна бизнес-необходимость, а если всех все устраивает то к чему городить огород.

В-третьих центр сертификации (если точнее то список отзывов) должен быть доступен из мира, если есть необходимость в удаленном администрировании и VPN.

Ну и в-четвертых, OS X и iOS нужно “подружить” с инфраструктурой PKI от Microsoft,  а это уже отдельная тема 🙂

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.