Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Generare certificati per browser

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
condor_uk



Registrato: 20/02/16 15:23
Messaggi: 39

MessaggioInviato: Lun Feb 27, 2017 10:30 am    Oggetto: Generare certificati per browser Rispondi citando

Un saluto a tutti e una buona settimana,
volevo gentilmente capire come generare due certificati corretti per la connessione alla ZS tramite browser firefox.

In sostanza ho due ZS che operano solo ed esclusivamente come VPN LAN to LAN, una ha indirizzo 192.168.100.250 l'altra ha indirizzo 192.168.200.250.

Quando dalla rete 100 provo a raggiungere tramite browser la rete 200 mi viene mostrato il seguente avviso:

Si è verificato un errore durante la connessione a 192.168.200.250. Si è ricevuto un certificato non valido. Si consiglia di contattare l’amministratore del server o l’indirizzo email corrispondente e fornire le seguenti informazioni: Il certificato contiene lo stesso numero di serie di un altro certificato emesso dall’autorità di certificazione. Richiedere un nuovo certificato contenente un numero di serie univoco. Codice di errore: SEC_ERROR_REUSED_ISSUER_AND_SERIAL

La pagina che si sta cercando di visualizzare non può essere mostrata in quanto non è possibile verificare l’autenticità dei dati ricevuti.
Contattare il responsabile del sito web per informarlo del problema.


Sareste cosi gentile da fornirmi istruzioni per come generare due distinti certificati che mi permettano di accedere alle ZS senza errori.

Grazie anticipatamente Embarassed
Top
Profilo Invia messaggio privato
condor_uk



Registrato: 20/02/16 15:23
Messaggi: 39

MessaggioInviato: Gio Mar 02, 2017 10:21 am    Oggetto: Rispondi citando

Buongiorno,
se avete novità vi chiedo la cortesia di informarmi,
non riesco a capire dove sbaglio, i certificati sulle due ZS sono diversi ma il messaggio del browser lascia intendere che sono gli stessi e mi blocca l'accesso da remoto. Embarassed Crying or Very sad
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 504

MessaggioInviato: Mer Mar 22, 2017 2:10 pm    Oggetto: Rispondi citando

Probabilmente è uguale quello usato come root CA, e il sistema rileva che una root ha generato certificati diversi con lo stesso seriale.

Il metodo che preferisco (anche se più complesso) è generare tutti i certificati con una CA esterna (spesso uso XCA), così anche nel caso venga "bucato" ZS l'attaccante non può generare altri certificati validi.
Altrimenti, usi uno solo dei due ZS come CA, facendogli generare tutti i certificati necessari.

In ogni caso non ti scordare i backup!
Top
Profilo Invia messaggio privato
condor_uk



Registrato: 20/02/16 15:23
Messaggi: 39

MessaggioInviato: Mer Mar 22, 2017 3:17 pm    Oggetto: Rispondi citando

Ciao Ndk,
nel ringraziarti per la risposta ti chiedo una delucidazione:

io ho una configurazione VPN LAN to LAN

posso seguire questa guida per la generazione dei certificati ?

https://campus.barracuda.com/product/campus/article/REF/CreateCertificatesC2SVPN/

Altra cosa, avrei necessità di piazzare una terza ZS in un'altra sede, la devo configurare sempre come LAN to LAN giusto ? E a quale indirizzo devo farla puntare ?



Embarassed
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 504

MessaggioInviato: Mar Mar 28, 2017 1:08 pm    Oggetto: Rispondi citando

Ad una rapida occhiata mi pare OK. Però sono anni che non uso VPN L2L... Altrimenti puoi battezzare un altro ZS (magari su RPi), normalmente tenuto offline, come CA. L'unico difetto è che non ti permette di mettere la chiave della CA su una smartcard...

Il terzo ZS dovrà puntare al "principale", che diventa così un "centro stella". Chiaramente è meglio se battezzi come centro quello che ha la massima banda sia in che out: il traffico da un client all'altro la userà in entrambi i sensi!
Top
Profilo Invia messaggio privato
condor_uk



Registrato: 20/02/16 15:23
Messaggi: 39

MessaggioInviato: Mer Mar 29, 2017 8:12 am    Oggetto: Rispondi citando

Buongiorno NdK,
nel ringraziarti per tutti i preziosi consigli che mi hai fornito, colgo l'occasione per porgerti un ultima domanda. Tu mi scrivi che sono anni che non utilizzi una VPN L2L, ad oggi secondo te quale tipo di vpn dovrei implementare ?


Grazie
C.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 504

MessaggioInviato: Mar Mag 02, 2017 1:06 pm    Oggetto: Rispondi citando

Non è questione di oggi o ieri... Dipende dalle esigenze.
Se devi unire due sedi di un'azienda come se fossero su una sola rete, devi usare L2L.
Se devi permettere ad uno o più utenti di lavorare da un loro PC remoto come se fossero sulla rete locale, allora devi usare H2L.
Top
Profilo Invia messaggio privato
condor_uk



Registrato: 20/02/16 15:23
Messaggi: 39

MessaggioInviato: Mar Mag 02, 2017 1:36 pm    Oggetto: Rispondi citando

Ciao NdK,
ciò non significa che una escluda l'altra, nel senso che:

sto preparando un altra macchina ZS da impiantare in una nuova sede e la configurerò come L2L per rendere tutta la LAN unica.

Successivamente alla sede che chiamo per rendere l'idea Sede3, dovranno connettersi da casa degli utenti come se fossero fisicamente in ufficio, in quel caso sulla ZS della Sede3 posso implementare una H2L creare l'utente e permettergli l'accesso, oppure devo utilizzare altro tipo di soluzione ?


Grazie
C.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it