Toon posts:

Authenticeren via proxy op IIS

Pagina: 1

Acties:

50 views sinds 30-01-2008
Reageer

woensdag 2 oktober 2002 13:11

Acties:

The more you tweak....

Topicstarter

Een topic is hier al over geopend, echter nu een andere vraag. 401.2 authentication error achter wingate

Zoals beschreven moet er worden geauthenticeerd
op een directory via NT Challenge/response, aangezien deze directory belangrijke documenten kan bevatten.

Voor personen die achter een proxy vandaan proberen in te loggen gaat dit verhaaltje helaas niet op. De credentials kunnen niet naar de server via een proxy.

(zie http://sciris.shu.edu/Manuals/FrontPage/serk/scwin_2.htm)

Nu is mijn vraag hoe ik nu het beste kan laten authenticeren zonder dat er plain text paswoorden etc. over het net gestuurd worden. (basic authentication).

De server is NT4Server met IIS 4. Please help!

Sempron 3800+ 8k9a7i

woensdag 2 oktober 2002 15:31

Acties:

Verwijderd

Helaas ontkom je niet aan basic authenticatie, tenminste als je perse ntlm moet gebruiken. maar je kan bijv ook de authenticatie door de applicatie/website laten afhandelen... hier zou je dan bijv een ssl pagina van kunnen maken zodat je pw geencrypt over het inet gaat...

woensdag 2 oktober 2002 15:59

Acties:

The more you tweak....

Topicstarter

In principe maakt het niet uit welke beveiliging er is. Momenteel is een gedeelte van het intranet beveiligd via SQL. Die directory bevat Word documenten. Hier kan ik geen speciale sessiecheck voor maken. Het probleem is dus dat als met de directe url naar een document weet, deze ook kan downloaden. Daarom de extra inlogprocedure.

Als ik nu NT Challenge/response aanzet EN basic authentication, dan krijgen de gebruikers waarschijnlijk WEL een inlogscherm. Alleen gaan deze gegevens dan unencrypted over het net neem ik aan. Of zit ik er nu naast?

SSL zou een optie zijn, alleen heb ik daar nog geen gebruik van gemaakt.

Sempron 3800+ 8k9a7i

woensdag 2 oktober 2002 16:04

Acties:

Verwijderd

ik ben geen webdesigner maar er zijn wel mogelijkheden als er iemand naar een url gaat hem eerst te redirecten naar een inlogpagina en if succesvol dan pas doorsturen naar de rest van de website... misschien even rondvragen op webscripting forum?

en en schiet idd niet op... basic authenticatie wordt dan gebruikt... (overigens uit je verhaal begrijp ik dat nu anonymous access aanstaat?)

woensdag 2 oktober 2002 17:04

Acties:

The more you tweak....

Topicstarter

Ehm, wat je hierboven noemt is in principe al doorgevoerd door SQL authenticatie.
Het probleem is dat ik geen sessiecheck (dus of je ingelogd bent ja of nee) in word bestanden kan maken. Dus blijft het nog steeds een lek.

Anonymous acces staat nu uit, alleen Challenge/Response. Het enige probleem zijn dus de personen die een internetverbinding hebben via een proxy/firewall. Deze krijgen geen inlogscherm maar direct de fijne 401.2 melding.

Sempron 3800+ 8k9a7i

woensdag 2 oktober 2002 18:22

Acties:

Verwijderd

Ik zat met hetzelfde, alleen ik wilde het wat veiliger hebben, zodat er ingelogt moest worden om de site te kunnen zien

Als bijvoorbeeld index.htm de startpage is, heb ik NTFS rechten gezet op dat ding.
Sindsdien kunnen mensen achter een proxy er wel op. Is een ander soort validatie denk ik

Vraag me niet hoe en wat, ik was al blij dat het werkte, en ja ik weet dat het zo niet netjes opgelost is, maar voor mij was het goed genoeg.

donderdag 3 oktober 2002 00:05

Acties:

blub

Eigenlijk is het antwoord al gegeven.
Met proxy's ontkom je (nog steeds) niet aan basic authentication. Maar, je maakt gewoon je website SSL enabled. Dan wordt er eerst een encrypted 'tunnel' opgezet tussen de gebruiker en de website en daarna gaat je username/wachtwoord 'plaintext' naar de website .. naja plaintext, beveiligd via SSL dus in dit geval

Zou gewoon moeten werken. Suc7.

donderdag 3 oktober 2002 11:53

Acties:

The more you tweak....

Topicstarter

Hmm, shit. Het betreft nl. een intranet welke ook extranet is. De toegang wordt geregeld via SQL. Echter een apart gedeelte (de virtual dir) kan alleen via NT challenge/response worden beveiligd aangezien Word documenten via een directe link te downloaden zijn. Om voor die paar mensen een SSL certificaat aan te schaffen (a 250 Euro per jaar) is wel iets om over na te denken.

Weet iemand nog een eventuele mogelijkheid voor dit probleem?

Sempron 3800+ 8k9a7i

donderdag 3 oktober 2002 12:30

Acties:

Verwijderd

Davidoff schreef op 03 oktober 2002 @ 11:53:
Om voor die paar mensen een SSL certificaat aan te schaffen (a 250 Euro per jaar) is wel iets om over na te denken.

Die kun je toch ook door win2k laten aanmaken? (gratis)

donderdag 3 oktober 2002 12:43

Acties:

The more you tweak....

Topicstarter

Maarehm, de webserver is NT4. Werkt dat ook dan? Zo ja, hoe?

Sempron 3800+ 8k9a7i

donderdag 3 oktober 2002 13:06

Acties:

Verwijderd

Davidoff schreef op 03 oktober 2002 @ 12:43:
Maarehm, de webserver is NT4. Werkt dat ook dan? Zo ja, hoe?

tja, waarom niet, zoveel scheelt IIS 4 en 5 nu ook weer niet:
http://www.iisfaq.com/default.asp?View=P20

donderdag 3 oktober 2002 14:20

Acties:

Verwijderd

het gaat alleen om het certificaat... waar die vandaan komt maakt niet uit... echter je gebruikers zullen bij een win2k certificaat wel een popup krijgen dat het om een untrusted certificate gaat...

donderdag 3 oktober 2002 14:23

Acties:

Verwijderd

overigens... je documenten gaan dan tenminste ook encrypted over het net... nu kan iedereen ze sniffen... je baas zal daar best 250 euro per jaar voor over hebben hoor...

donderdag 3 oktober 2002 14:24

Acties:

Verwijderd

Verwijderd schreef op 03 oktober 2002 @ 14:20:
het gaat alleen om het certificaat... waar die vandaan komt maakt niet uit... echter je gebruikers zullen bij een win2k certificaat wel een popup krijgen dat het om een untrusted certificate gaat...

Op die win2k machine die het ding aangemaakt heeft, effe een root CA certificate aanmaken, en die ook op de client installeren, dan krijg je die popup niet meer.
Met jouw Nickname zou dat oud nieuws moeten zijn

Enige nadeel is, dat dat truukje alleen op IE als client werkt, maargoe, dat is inmiddels 97% van wereld.

donderdag 3 oktober 2002 14:35

Acties:

Verwijderd

hehe...

ik denk dat de client pc bij totale noobs (lees: gebruikers

) thuis staan... installen is er denk ik niet bij...

donderdag 3 oktober 2002 16:47

Acties:

Verwijderd

Verwijderd schreef op 03 oktober 2002 @ 14:35:
ik denk dat de client pc bij totale noobs (lees: gebruikers ) thuis staan... installen is er denk ik niet bij...

Tja, als zelfs met de rechtermuis op een .cer bestandje klikken, en kiezen voor install te moeilijk is, kan het ook nog met een asp scripje. Zet de root.cer in de c root van je webser, en maak een pagina aan met het volgende:
_______________________________________________________________

<HTML>
<HEAD>
<TITLE>Installing A Root Certificate</TITLE>
<BR>Root Certificate Authority Installation
<BR>
<BR>

<%@ LANGUAGE="VBScript"%>
<%
Set fs = CreateObject("Scripting.FileSystemObject")
Set MyFile = fs.OpenTextFile("c:\root.cer", 1)

Output = ""

Do While MyFile.AtEndOfStream <> true
line = Chr(34) & MyFile.ReadLine & Chr(34)
If MyFile.AtEndOfStream <> true then
line = line & " & _" & Chr(10)
End If
Output = Output & line
Loop

MyFile.Close

Set MyFile = Nothing
Set fs = Nothing
%>

<SCRIPT language="VBSCRIPT">
on error resume next
Dim Str, CEnroll

Set CEnroll = CreateObject("CEnroll.CEnroll.1")
Str = <% Response.Write Output %>

CEnroll.installPKCS7(Str)

Set CEnroll = Nothing
</SCRIPT>
</HEAD>
</HTML>

__________________________________________________________

Lekker monkeyproof

donderdag 3 oktober 2002 16:50

Acties:

The more you tweak....

Topicstarter

Ok, ik ga het proberen.

Dus als ik het goed begrijp zal ik SSL aan moeten zetten, Een certificaat maken onder w2k,
de authenticatie op basic gooien, wat rechten aanpassen e.d.

Stel dat iemand een directe url weet naar een document, dan moet te allen tijde (dus ook achter een proxy vandaan) een login scherm naar voren komen welke dus zegt van: Hallo meneertje, je hebt geen rechten om in die directory te snuffelen, log eers maar eens eventjes in...

Dit zou inderdaad de oplossing zijn.

Sempron 3800+ 8k9a7i

donderdag 3 oktober 2002 17:54

Acties:

Verwijderd

Davidoff schreef op 03 oktober 2002 @ 16:50:
Dus als ik het goed begrijp zal ik SSL aan moeten zetten, Een certificaat maken onder w2k,
de authenticatie op basic gooien, wat rechten aanpassen e.d.

SSL is dus niet voor authenticatie, maar voor een beveiligde sessie.
Normaal deelt de webserver automatisch het certificaat uit naar de connecterende client. Als je dat uitdelen kunt blokkeren, en het certificaat handmatig uit gaat delen, kom je gewoon niet op die server, zonder het certificaat. Staat dus geheel buiten het inloggen.
Nadeel is, dat als iemand anders achter de machine met het certificaat gaat zitten, hij er weer wel op komt.

Ik ben er alleen nog niet achter hoe ik dat automatisch uitdelen uit IIS moet slopen. Iemand anders?

vrijdag 4 oktober 2002 14:16

Acties:

The more you tweak....

Topicstarter

_Arthur schreef op 03 oktober 2002 @ 00:05:
Eigenlijk is het antwoord al gegeven.
Met proxy's ontkom je (nog steeds) niet aan basic authentication. Maar, je maakt gewoon je website SSL enabled. Dan wordt er eerst een encrypted 'tunnel' opgezet tussen de gebruiker en de website en daarna gaat je username/wachtwoord 'plaintext' naar de website .. naja plaintext, beveiligd via SSL dus in dit geval

Zou gewoon moeten werken. Suc7.

Ik ga het proberen. Heb zelf een w2k machine. Gelukkig krijgen de personen allemaal netjes een login box bij basic authentication. Nu alleen nog zorgen dat deze pas komt wanneer de 'tunnel' is opgezet.

Als de personen een melding krijgen dat het een un-trusted certificaat betreft dan kunnen ze toch gewoon aanvinken: "always trust this certificate' ?

Ik ga het proberen. Bedankt allemaal $_/-\o_$ . Die link over IIS is redelijk duidelijk. Ik denk dat ik er wel uit kom. Ik hou op de hoogte.

Sempron 3800+ 8k9a7i

vrijdag 4 oktober 2002 15:41

Acties:

The more you tweak....

Topicstarter

weet iemand trouwens ook wat voor delay het veroorzaakt op een middelgroot intranet?
Klopt het dat de performance zo'n stap terug doet? Heeft iemand timings, of is het verschil zonder encryptie te verwaarlozen?

Sempron 3800+ 8k9a7i

vrijdag 4 oktober 2002 18:33

Acties:

Verwijderd

Davidoff schreef op 04 oktober 2002 @ 14:16:
Als de personen een melding krijgen dat het een un-trusted certificaat betreft dan kunnen ze toch gewoon aanvinken: "always trust this certificate' ?

Klopt, en zolang de root ca van de machine die het certificaat heeft aangemaakt niet is geinstallerd op de clientmachine, moeten ze dit elke keer doen. Tevens duurt het elke keer onnodig lang, omdat de client machine elke keer zijn hele database afstruint, om te kijken of dat ding van een trusted CA afkomt. Op een wat lichtere machine soms wel een seconde of 10. Na de root CA installatie, nog maar een halve seconde.

Dit hoeft niet bij die certificaten van versign enzo, omdat de browser die vertrouwd. Kijk in IE maar eens in "tools, internet options, content, certificates, en dan de tab Trusted Root Certification Authorities" Daar moet het root certificaat van je win2k machine die het normale certificaat heeft aangemaakt, tussen komen te staan.

Dus na installatie van het ROOT certificaat, worden ALLE certificaten van die machine als trusted gezien. Is dus een stuk goedkoper (lees gratis), dan zo'n ding van verisign. Enige nadeel is dat die trusted root truuk ALLEEN met IE clients kan.

Nog vragen

maandag 7 oktober 2002 12:39

Acties:

Verwijderd

Davidoff schreef op 04 oktober 2002 @ 15:41:
weet iemand trouwens ook wat voor delay het veroorzaakt op een middelgroot intranet?
Klopt het dat de performance zo'n stap terug doet? Heeft iemand timings, of is het verschil zonder encryptie te verwaarlozen?

de netwerk performance is ongeveer 10% meer netwerk verkeer... maar de processor van server en client krijgen ook meer te doen...

dinsdag 8 oktober 2002 23:06

Acties:

The more you tweak....

Topicstarter

Ik heb een gratis testcertificaat gemaakt via thawte, welke geldig is tot de 25e. De extra overhead zal geen probleem veroorzaken momenteel. Iedereen in ons bedrijf draait IE. De mensen met NS hebben dan helaas pech. Wanneer iemand na de 25e m'n certificaat installeert, dan is het hopelijk niet zo dat ie elke keer met de melding "Wil je echt toegang? het certificaat is verlopen hoor!" komt. Een CA van Verisign is in principe geen probleem. Maarehm, zelf een CA aanmaken met expiry date op 2010, is dat mogelijk? Zo ja, waarmee?

Het proxy probleem is ieder geval opgelost. Nu nog een certificaat maken...

Sempron 3800+ 8k9a7i

woensdag 9 oktober 2002 00:24

Acties:

Verwijderd

Davidoff schreef op 08 oktober 2002 @ 23:06:
Maarehm, zelf een CA aanmaken met expiry date op 2010, is dat mogelijk? Zo ja, waarmee?

http://support.microsoft....spx?scid=kb;en-us;Q228821

woensdag 9 oktober 2002 09:57

Acties:

The more you tweak....

Topicstarter

Ja, ok, tuurlijk. Dit heb ik al wel gedaan voor Thawte maar nu heb ik een Certificate Request file. die kan ik natuurlijk naar een bekende authority sturen (Verisign a 300 euro/jr.). Maar eigenlijk zou een gratis certificaat (wel of niet trusted) ook ruimschoots voldoen. Als de secure lijn maar werkt.

Dus vraag ik me af HOE je zelf een certificaat maakt

Sempron 3800+ 8k9a7i

woensdag 9 oktober 2002 11:17

Acties:

Verwijderd

Davidoff schreef op 09 oktober 2002 @ 09:57:
Ja, ok, tuurlijk. Dit heb ik al wel gedaan voor Thawte maar nu heb ik een Certificate Request file. die kan ik natuurlijk naar een bekende authority sturen (Verisign a 300 euro/jr.). Maar eigenlijk zou een gratis certificaat (wel of niet trusted) ook ruimschoots voldoen. Als de secure lijn maar werkt.

Ok dan....Jip en Janneke taal dan maar (met de kans dat deze topic van PNS verwijderd wordt).

Enkele bedrijven zijn gerechtigd om certificaten te verkopen, waaronder bijvoorbeeld Verisign. Hoe weet je als clientpc nu zeker dat die certificaten van een betrouwbare bron komen? Dan maken die bedrijven een afspraak dat de door hen aangemaakte certificaten automatisch "vertrouwd" worden door alle browsers.
Op de client hoef je dus niks te regelen, alleen dat certificaat accepteren. Nadeel is dat er effe afgerekend moet worden.

Nu heeft MS ook zo'n certificatenservice in zijn OS gestopt. Gebruik je die op een lokaal lan, is er niks aan de hand, en werken die certificaten gelijk.
Ga je echter met zo'n certificaat de grote boze wereld in (die internet heet), dan gaan de clientpc browsers protesteren, omdat de bron onbekend is. Logisch natuurlijk, want je creeert een certificaat op een onbekende machine; dus het is niet meer dan normaal dat die niet vertrouwd wordt.

Dan komt de trukendoos van MS; je kunt ervoor zorgen dat die machine die dat ding heeft uitgespuugd; toegevoegd wordt aan de lijst van vertrouwde machines in je internet explorer. (waar dat zit heb ik al eerder beschreven). Dat doe je door het ROOT ca van die machine (naast dus het normale ssl certificaat) ook op die clientpc te installeren.

Omdat deze truuk dus alle afspraken tussen de ssl boeren aan zijn laars lapt, werkt het alleen voor MS IE.

Nou, nog een linkje van MS a la monkey see monkey do:
http://support.microsoft....spx?scid=kb;en-us;Q299525

En nu zelf doen

woensdag 9 oktober 2002 15:24

Acties:

Verwijderd

er wordt wel 1 dingetje vergeten... ms raad aan om een root ca te maken en daarnaast een (fuck hoe heet dat ook alweer

) secundaire CA... de root CA geeft de certificates aan de secundaire en daarna kan die machine in de kast... oftewel minimaal 2 machines nodig om 1 gratis certificaatje te maken... lijkt me dat een verisign certificate goedkoper is!!!

woensdag 9 oktober 2002 16:40

Acties:

Verwijderd

Verwijderd schreef op 09 oktober 2002 @ 15:24:
er wordt wel 1 dingetje vergeten... ms raad aan om een root ca te maken en daarnaast een (fuck hoe heet dat ook alweer ) secundaire CA... de root CA geeft de certificates aan de secundaire en daarna kan die machine in de kast... oftewel minimaal 2 machines nodig om 1 gratis certificaatje te maken... lijkt me dat een verisign certificate goedkoper is!!!

Oh....maar ik ben een beetje een koppige it'er en doe het met 1 machine. Maak niet uit welke, zolang MS CA maar geinstalleerd is. Die zorgt voor het root certificaat en het benodigde SSL certificaat.

Wordt MS nu boos op mij?

woensdag 9 oktober 2002 17:00

Acties:

Verwijderd

nee hoor... maar de kans bestaat dat je root ca certificates gecompromised (hoe zeg je dat in nl

) worden en dan hebbie dikke shit... als je de root ca uitzet kan je altijd weer terug... aangezien daar een evt. hacker een beetje moeilijk bij kan

woensdag 9 oktober 2002 18:06

Acties:

Verwijderd

Verwijderd schreef op 09 oktober 2002 @ 17:00:
nee hoor... maar de kans bestaat dat je root ca certificates gecompromised (hoe zeg je dat in nl ) worden en dan hebbie dikke shit... als je de root ca uitzet kan je altijd weer terug... aangezien daar een evt. hacker een beetje moeilijk bij kan

Nu ben ik je effe kwijt.
De MS CA (de root ca dus) spuugt een .cer uit voor mijn website. Dan laat ik hem een root.cer uitspugen. Daarna heb ik dat ding toch niet meer nodig. Ik kan hem net zo goed uitzetten. Er vindt in IE geen online controle plaats, of die root CA wel te bereiken is. (toch?

) Zou lekker zijn; als de router van verisign het begeeft, dan werken 100.000 den ssl sites niet meer.

Magoe, ik leer graag bij...dus "show me the licht"

donderdag 10 oktober 2002 11:25

Acties:

The more you tweak....

Topicstarter

Oh, guys, sorry... probleem was dat NU PAS in win2k SERVER de Certificate Service zie staan

beetje dom is het wel he. Nu zitten we gelukkig weer op dezelfde golflengte.

Ps. ik heb nooit de Jip en Janneke gelezen dus snap ik je verhaaltje niet

Sempron 3800+ 8k9a7i

donderdag 10 oktober 2002 17:03

Acties:

The more you tweak....

Topicstarter

Nou, W2k server bak gepakt en CA service geinstalleerd.
er wordt netjes een certificaat aangemaakt enzo met alle info e.d.

Nu weer het volgende:

Hoe kan ik een nou certificaat voor een andere machine maken? (de WEBSERVER, NT)? Ik krijg met geen enkele mogelijkheid een .cer bestand (wel een .crt bestand). Als ik een certificaat wil installeren op bv. een andere w2k machine dan zegt ie: "jammer, ik heb je bijbehorende request file niet gevonden."

Dus dacht ik. Ikmaak een request file aan op een w2k machine en kijk of w2k server een certificaat kan aanmaken... nee dus...

Jongens, ik begrijp er niks meer van...

Sempron 3800+ 8k9a7i

donderdag 10 oktober 2002 23:20

Acties:

Verwijderd

Davidoff schreef op 10 oktober 2002 @ 17:03:
Nou, W2k server bak gepakt en CA service geinstalleerd.

Hoe kan ik een nou certificaat voor een andere machine maken?

Jip en Janneke:
Op je webserver ga je naar "start, programs, administrative tools, internet services manager, default website, rechtermuis, properties, directory security, server certificate.
Vanaf daar volg je de aanwijzingen in het document, wat ik je eerder heb aangewezen, maar blijkbaar nog niet hebt gelezen: http://support.microsoft....spx?scid=kb;en-us;Q299525

En ga er nu effe zelf mee aan de gang. Het koste mij ook aardig wat uurtjes om het door te krijgen, en met op deze manier alles voorgekauwt krijgen leer je niks.

vrijdag 11 oktober 2002 09:02

Acties:

The more you tweak....

Topicstarter

Hmm, deze link had ik inderdaad over het hoofd gezien... tnx

Sempron 3800+ 8k9a7i

vrijdag 11 oktober 2002 09:48

Acties:

The more you tweak....

Topicstarter

Davidoff schreef op 11 oktober 2002 @ 09:02:
Hmm, deze link had ik inderdaad over het hoofd gezien... tnx

tnx Buddies! Alles werkt nu als een zonnetje. Wel irri dat de browser er zolang over doet als je het certificaat nog niet hebt geinstaleerd! Maarja. De lijn is secure. Nu nog maar kijken of het ook op IIS 4 hetzelfde gaat.

/me learned a lot $_/-\o_$

Sempron 3800+ 8k9a7i

vrijdag 11 oktober 2002 11:30

Acties:

The more you tweak....

Topicstarter

Verwijderd schreef op 03 oktober 2002 @ 16:47:
[...]

Tja, als zelfs met de rechtermuis op een .cer bestandje klikken, en kiezen voor install te moeilijk is, kan het ook nog met een asp scripje. Zet de root.cer in de c root van je webser, en maak een pagina aan met het volgende:
_______________________________________________________________

Ik denk dat je de root CA bedoelt (CAnaam.crt)

Sempron 3800+ 8k9a7i

vrijdag 11 oktober 2002 13:44

Acties:

Verwijderd

Davidoff schreef op 11 oktober 2002 @ 11:30:
Ik denk dat je de root CA bedoelt (CAnaam.crt)

Correct; het normale certificaat wordt door de webserver uitgegeven, maar het Rootcertificaat moet of handmatig geinstalleerd worden, of automatisch via die asp pagina, die het erg userfriendly maakt.

vrijdag 11 oktober 2002 14:05

Acties:

The more you tweak....

Topicstarter

Nog even een enkele vraag, welke ik momenteel even niet kan testen op de server.
Wanneer ik NTLM aanzet EN basic authentication, gaat NTLM dan VOOR op basic auth.?
En wanneer NTLM niet gebruikt kan worden (dat verhaal achter proxy), wordt er dan direct overgegaan op basic zodat deze personen toch in kunnen loggen?

Aangezien het hier op lokatie gewoon via het netwerk te benaderen is geef ik hier de voorkeur aan NTLM, dan hoeft er niet elke keer ingelogd te worden.

Sempron 3800+ 8k9a7i

maandag 14 oktober 2002 10:44

Acties:

The more you tweak....

Topicstarter

Owkee... dat werkt. Dat is netjes

Sempron 3800+ 8k9a7i

maandag 14 oktober 2002 11:54

Acties:

The more you tweak....

Topicstarter

m

Sempron 3800+ 8k9a7i

dinsdag 15 oktober 2002 15:00

Acties:

The more you tweak....

Topicstarter

Nou, alles functionerend gemaakt op een Win2k servertje -eigen PC- m.b.v. CA op een Win2k server. Certificaten ging prima en het automatisch trusten ging ook prima met een aangepaste versie van bovenstaand script.

Dus alles prima functionerend dacht ik, laat ik het gaan implementeren op IIS4.
Ik de certificatie request aan laten maken op IIS4 (webserver) en deze op de W2kServer laten certificeren. Als 2 formaten opgeslagen (DER en Base64).

Nu installeren in de key manager. Het DER certificaat is invalid was de melding, aangezien IIS4 niet met DER encoded certificates om kan gaan. Ik keurig het andere certificaat geprobeerd (Base64) en ja hoor... deze slikt IIS4 wel.

Mooi. Nu nog de binding met het ip-adres en de port (443). Ingesteld en toen in IIS4 bij de properties aangezet om SSL te gebruiken. Ook hier ingesteld wat de SSL port is.

Nu proberen:

http://ip-adres/default.htm -> This site requires HTTPS

Mooi...

Nu https://ip-adres/default.htm -> this page cannot be displayed....
Na veel instellen lukt het me nog steeds niet. en blijft deze mlding geven als ik https gebruik..

Ik heb al zoveel gedaan, maar krijg het niet werkend. Kan iemand mij hier mee helpen?
Onder IIS5 geen problemo maar IIS4 wel.

Heb ook een testcertificaat bij Thawte aan laten maken. Deze netjes opgeslagen en geimproteerd in IIS4.... GEEFT ook de melding dat het certificaat invalid is bij het installeren! Dus die wordt gewoonweg al niet geinstalleerd!

ps. de webserver draait dus op NT4 Server met IIS 4 en Service Pack 5

Sempron 3800+ 8k9a7i

dinsdag 15 oktober 2002 16:19

Acties:

Verwijderd

lol iis4 met sp5 is zowieso insecure dus waarom proberen te beveiligen met ssl

welke melding krijg je... zet user friendly messages uit op de server en in je browser en post die dan ff...

dinsdag 15 oktober 2002 16:54

Acties:

The more you tweak....

Topicstarter

Ik probeer morgen weer te reageren aangezien ik straks een server reset moet doen.
Ik hoop trouwens dat dat een probleem op zal lossen. Poort 443 stond nl. blocked op de netwerkkaart. Ik weet niet 100% of het hier mee te maken zal hebben, maar we'll just try.

ps. die foutmelding is de standaard:

The page cannot be displayed
The page you are looking for is currently unavailable. The Web site might be experiencing technical difficulties, or you may need to adjust your browser settings.

--------------------------------------------------------------------------------

Please try the following:

Click the Refresh button, or try again later.

If you typed the page address in the Address bar, make sure that it is spelled correctly.

To check your connection settings, click the Tools menu, and then click Internet Options. On the Connections tab, click Settings. The settings should match those ....... etc.

BLA..... BLA ..... BLA .....

Sempron 3800+ 8k9a7i

donderdag 17 oktober 2002 09:26

Acties:

The more you tweak....

Topicstarter

Het is opgelost. Was de port 443 die nog niet was vrijgegeven door de server (opengezet).
Nu is het netjes encrypted. Alleen 40-bit, maar dat zal wel een configfoutje zijn. Thanks jullie allen, Smiley en iis5 rules.

Sempron 3800+ 8k9a7i

donderdag 17 oktober 2002 11:10

Acties:

Verwijderd

40 bit is geen foutje, maar dat heeft te maken met het amerikaanse rechtssystem... pas na win2k sp2 (dacht ik) mag er 128 bits encryptie gebruikt worden buiten amerika...

donderdag 17 oktober 2002 11:29

Acties:

Verwijderd

Verwijderd schreef op 17 oktober 2002 @ 11:10:
40 bit is geen foutje, maar dat heeft te maken met het amerikaanse rechtssystem... pas na win2k sp2 (dacht ik) mag er 128 bits encryptie gebruikt worden buiten amerika...

Nou, het is al en tijdje vrijgegeven, maar voor NT4 heb je een speciaal SP nodig:
http://www.microsoft.com/...urity/issues/crypload.asp

donderdag 17 oktober 2002 13:15

Acties:

The more you tweak....

Topicstarter

Yepz of SP6a met High Encryption pack.

Sempron 3800+ 8k9a7i

Pagina: 1

Reageer