Toon posts:

[SBS2008] Certificaat & externe internet werkplek

Pagina: 1
Acties:

maandag 7 december 2009 08:23

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
De installatie van mijn thuisservertje is een heel eind voltooid, maar nu vraag ik me het volgende af.

Ik gebruik momenteel een zelf uitgegeven certificaat. Wanneer ik nu vanaf mijn werk wil inloggen op de server thuis gaat dat goed totdat het certificaat gecontroleerd wordt en ik krijg dan een melding "voor verbinding met Externe-Internetwerkplek moet u het juiste certificaat installeren, neem contact op etc..."

Wanneer ik nu ergens een certifaat zou kopen, maakt het dan nog wat uit waar je dat certificaat koopt, maw wordt het ene certificaat meer vertrouwd dan het ander?

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 08:25

Acties:

Verwijderd

ja, lees je in op sslcertificaten.nl bijvoorbeeld

of een certificaat als geldig wordt gezien, ligt aan de browser.

maandag 7 december 2009 11:12

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
Begrijp ik het dan goed dat je voor je externe werkplek (vpn, terminal server) weer een ander certifcaat nodig hebt dan voor je domein (webserver certificaat) zelf?

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 11:31

Acties:

Verwijderd

een certificaat wordt afgegeven op name.domain.com bv webmail.mijnbedrijf.nl

als je dan intern zit en je verbind met de interne url: nl-mailserver5.mijnbedrijf.local dan zal dat certificaat een foutmelding geven ja.

zorg dus dat je intern ook verbinding maakt met de internet namen.

maandag 7 december 2009 12:11

Acties:

Verwijderd

RedGolf schreef op maandag 07 december 2009 @ 08:23:
Wanneer ik nu vanaf mijn werk wil inloggen op de server thuis gaat dat goed totdat het certificaat gecontroleerd wordt en ik krijg dan een melding
Hoe log je in?

maandag 7 december 2009 12:54

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
ik log in via:
https://remote.domein.nl -> https://remote.domein.nl/Remote/logon.aspx

Vervolgens username en ww invullen, dan kom ik op een basis pagina van Small Business server, waar ik email kan controleren, met een computer kan verbinden of naar de interne site kan gaan.
- (1) De email controleren gaat goed
- (2) Bij het verbinden met de server, krijg ik eerst een melding (geen waarschuwing) of ik de computer wil vertrouwen, ja dus. Dan wordt de sessie gestart van het externe bureaublad van mijn server en moet ik opnieuw een username en ww opgegeven, waarna even later de melding verschijnt dat ik het juiste certifcaat moet installeren (er is nu alleen een self issued certifcaat aanwezig op de server)
- (3) Bij de inerne website krijg ik: Error Code: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204) . Dit zou misschien ook te maken kunnen hebben met de configuratie op mijn werk, waar ik echt niks aan kan veranderen.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 13:20

Acties:

Verwijderd

dit heeft dus niets met certifcaten te maken iig.

maandag 7 december 2009 13:51

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
Verwijderd schreef op maandag 07 december 2009 @ 13:20:
dit heeft dus niets met certifcaten te maken iig.
Wat de interne website betreft niet, maar het inloggen op de server (2) wel lijkt me.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 19:57

Acties:
  • vinniel83
  • Registratie: November 2009
  • Laatst online: 18-01-2024

vinniel83

Windows 2008 SBS vereist in tegenstelling tot 2003 SBS dat er een certificaat op de PC/laptop moet zijn geïnstalleerd voor remote access. Dit mag gewoon een self signed certificate zijn en hoef dus niet perse aangeschaft te worden. Je kunt vanaf de SBS console een install certificate package downloaden, wanneer je deze op de PC/laptop draait wordt het certificaat geïnstalleerd en kun je verbinding maken.

maandag 7 december 2009 21:31

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
vinniel83 schreef op maandag 07 december 2009 @ 19:57:
Windows 2008 SBS vereist in tegenstelling tot 2003 SBS dat er een certificaat op de PC/laptop moet zijn geïnstalleerd voor remote access. Dit mag gewoon een self signed certificate zijn en hoef dus niet perse aangeschaft te worden. Je kunt vanaf de SBS console een install certificate package downloaden, wanneer je deze op de PC/laptop draait wordt het certificaat geïnstalleerd en kun je verbinding maken.
Maar wanneer je nu vanaf een willekeurige PC, die je niet zelf beheerd wil inloggen op de eigen server, kun je dat dan oplossen door op de SBS2008 server een gekocht webserver certificaat te installeren. Of moet er ook op de client het juiste certificaat geïnstalleerd zijn, dat laatste is in iedergeval zo wanneer op de server een self signed certificaat staat.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 21:43

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Verwijderd schreef op maandag 07 december 2009 @ 13:20:
dit heeft dus niets met certifcaten te maken iig.
Misschien toch zelf ook even een lesje PKI volgen?

Anyways: voor een Self-signed cert geldt dat je geen trusted public root certificate hebt zoals Thawte/Verisign e.d. dat zijn.
Wil je dus op een non-domain member toch gebruik kunnen maken van de PKI infra van je SBS heb je twee mogelijkheden:
1) exporteer het root certificate van je CA en importeer dat op het te gebruiken device indien mogelijk.
Werkt dat niet omdat bijvoorbeeld je device geen custom root certificates laat installeren of omdat je niks kan veranderen aan de install:
2) schaf een server certificaat aan bij een trusted public certificate authority en gebruik die voortaan.


Afgezien daarvan: RWW gebruikt ook nog eens een redirected RD sessie over 4125, en dat zou best wel eens in wat firewalls geblocked kunnen staan ;)
Je interne website (companyweb? ) draait op poort 444 als ik me niet vergis, vandaar de ISA melding.

[ Voor 16% gewijzigd door alt-92 op 07-12-2009 21:47 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 7 december 2009 21:49

Acties:
  • Zwelgje
  • Registratie: November 2000
  • Laatst online: 20-01 19:37

Zwelgje

alt-92 schreef op maandag 07 december 2009 @ 21:43:
[...]

Misschien toch zelf ook even een lesje PKI volgen?

Anyways: voor een Self-signed cert geldt dat je geen trusted public root certificate hebt zoals Thawte/Verisign e.d. dat zijn.
Wil je dus op een non-domain member toch gebruik kunnen maken van de PKI infra van je SBS heb je twee mogelijkheden:
1) exporteer het root certificate van je CA en importeer dat op het te gebruiken device indien mogelijk.
Werkt dat niet omdat bijvoorbeeld je device geen custom root certificates laat installeren of omdat je niks kan veranderen aan de install:
2) schaf een server certificaat aan bij een trusted public certificate authority en gebruik die voortaan.


Afgezien daarvan: RWW gebruikt ook nog eens een redirected RD sessie over 4125, en dat zou best wel eens in wat firewalls geblocked kunnen staan ;)
Je interne website (companyweb? ) draait op poort 444 als ik me niet vergis, vandaar de ISA melding.
RWW op sbs2008 gaat niet meer over 4125 hoor maar over 443 (tsgateway)

A wise man's life is based around fuck you

maandag 7 december 2009 22:57

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
Ik ga daar morgen of zo mee verder, op sslcertificaten.nl kan je een test certificaat aanmaken. Dat heb ik geprobeerd, maar de code die ik erin plak geeft een fout "CSR Ongeldig: De domeinnaam in de CSR is de interne servernaam "canyonred" en geen geldige domeinnaam."

Morgen in IIS duiken om uit te zoeken waarom er de verkeerde code gegenereerd wordt. Het is ff zoeken waar alles zit.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 7 december 2009 23:21

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Je hebt juist SBS. Al die hoofdpijn hierboven had je kunnen voorkomen door gewoon de wizards te gebruiken. Ik wil dan ook voorstellen dat je dan ook vanuit het SBS Console via Network de betreffende wizard voor certificaten gebruikt zodat er een correct request wordt gegenereerd.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

dinsdag 8 december 2009 19:08

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
sanfranjake schreef op maandag 07 december 2009 @ 23:21:
Je hebt juist SBS. Al die hoofdpijn hierboven had je kunnen voorkomen door gewoon de wizards te gebruiken. Ik wil dan ook voorstellen dat je dan ook vanuit het SBS Console via Network de betreffende wizard voor certificaten gebruikt zodat er een correct request wordt gegenereerd.
Is inmiddels gebeurd, even wachten tot het binnen is. Ging inderdaad foutloos.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

dinsdag 8 december 2009 20:49

Acties:
  • vinniel83
  • Registratie: November 2009
  • Laatst online: 18-01-2024

vinniel83

RedGolf schreef op maandag 07 december 2009 @ 21:31:
[...]

Maar wanneer je nu vanaf een willekeurige PC, die je niet zelf beheerd wil inloggen op de eigen server, kun je dat dan oplossen door op de SBS2008 server een gekocht webserver certificaat te installeren. Of moet er ook op de client het juiste certificaat geïnstalleerd zijn, dat laatste is in iedergeval zo wanneer op de server een self signed certificaat staat.
Klopt.

maandag 14 december 2009 08:19

Acties:
  • RedGolf
  • Registratie: November 2008
  • Laatst online: 23:36

RedGolf

Topicstarter
Ik heb inmiddels een standaard Domein validatie certificaat geïnstalleerd "Comodo Positive SSL". Het via OWA inloggen op een willeukeurige client gaat fluitend net als het inloggen op de server zelf via https:remote.domein.nl (ook op mijn werk dus).

Ik krijg echter nog wel de volgende fout:
Network Access Message: The page cannot be displayed

Technical Information (for Support personnel)
Error Code: 502 Proxy Error. The specified Secure Sockets Layer (SSL) port is not allowed. ISA Server is not configured to allow SSL requests from this port. Most Web browsers use port 443 for SSL requests. (12204)
IP Address: 10.58.1.11
Date: 14-12-2009 7:15:39 [GMT]

...wanneer ik op mijn werk via remote.domein.nl wil inloggen op de interne website ( inloggen remote.domein.nl en dan -> Interne website).

Ik kan uit bovenstaande foutmelding niet opmaken of dit nu in mijn server configuratie thuis zit, of dat dit probleem te wijten is aan de beveiliging van het netwerk op mijn werk.

Nibe S2125-12, SMO S40, ELK9, Vloerverwarming+radiatoren Enphase 7560Wp, ABB SCU200

maandag 14 december 2009 10:48

Acties:
  • sanfranjake
  • Registratie: April 2003
  • Niet online

sanfranjake

Computers can do that?

(overleden)
Interne website gaat over poort 987. Die zal op je werk wel gewoon dicht staan.

Mijn spoorwegfotografie
Somda - Voor en door treinenspotters

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq