Connect. Communicate. Collaborate. Securely.

Domů » Česky » Kerio Control » Nelze se přihlásit po změně certifikátu
  •  
Hans99 je nyní offline Hans99

Příspěvky: 127
Odeslat poštu tomuto uživateli
Control mě upozornil, že bude končit platnost certifikátu pro webový přístup. Takže certifikát jsem přejmenoval a vytvořil nový s původním názvem, a ten jsem přiřadil k webovému rozhraní. Při vytváření nešlo použít název počítače údajně proto že jej obsahuje local autorithy. Místo plného doménového názvu (kerio.nezve.domeny) jsem tedy použil pouze název bez doménového jména(kerio).
Po změně certifikátu mi napsal, že se musím znovu přihlásit. To jsem udělal, přihlášení proběhlo a napsalo se, že změna je potvrzena. Od toho okamžiku se ale nejsem schopen na webové rozhraní přihlásit. Jak IE tak Chrome píše, že certifikát není zabezpečený, připojení není bezpečné a nedovolí mě pokračovat dále. Zkoušel jsem přihlášení na celé doménové jméno, jen na jméno i na IP, ale vždy se stejným výsledkem.

V čem je chyba, jak se mám přihlásit??

Omlouvám se za špatné forum, prosím o přesun do Controlu.

[Aktualizováno: St, 01 červen 2016 08:36]

  •  
BoBik je nyní offline BoBik

Příspěvky: 407
Odeslat poštu tomuto uživateli
Prohlížeč Ti opravdu nedovolí pokračovat dále? To je nesmysl.

Když u sebe zkusím do admin rozhraní Controlu přistoupit přes IP adresu, tak mi samozřejmě také prohlížeč oznámí nesoulad adresy a certifikátu, ale pokračovat a do Controlu se přihlásit normálně mohu.

Pokud je Tvůj certifikát self-signed, tak ho přidej do důvěryhodných kořenových CA.

  •  
Hans99 je nyní offline Hans99

Příspěvky: 127
Odeslat poštu tomuto uživateli
Bohužel nesmysl to není, nikdy dříve jsem se s tím také nesetkal. To co popisuješ mi udělá (a dělal, pokud není v důvěryhodných) i dříve, ale teď po odkliknutí varování pokračovat dále, naběhne další podobné varování, ale s tím, že už tam není možnost pokračovat dále, jen ukončit.
  •  
BoBik je nyní offline BoBik

Příspěvky: 407
Odeslat poštu tomuto uživateli
Hmm, to je divné. nemůže to dělat nějaké nastavení zabezpečení v prohlížeči?
  •  
Hans99 je nyní offline Hans99

Příspěvky: 127
Odeslat poštu tomuto uživateli
Tak nakonec se mi podařilo přihlásit se z jiného PC (serveru) ve stejné síti přes IP s tím, že na toto připojení byl použit certifikát pro reverzní proxy (netuším proč?). Hned jsem tedy pro web rozhraní nastavil zpět původní přejmenovaný certifikát a opět vše funguje jako dřív.

Ale za pár dní mu končí platnost, a já nevím jak jej nahradit. Když se pokusím vytavit nový se stejnými údaji napíše mi: Parametry certifikátu musí být odlišné od parametrů jeho vystavovatele. Tento certifikát koliduje s certifikátem 'Local Authority'. Zjistil jsem, že stačí změnit název v oddělení a už mi jej vytvořit povolí (takže stejné plné doménové jméno nevadí, jak jsem si myslel). Sice divné, ale certifikát mám. Teď se jej ale bojím použít ,abych si opět nezablokoval přístup...
  •  
Hans99 je nyní offline Hans99

Příspěvky: 127
Odeslat poštu tomuto uživateli
Tak jsem se odhodlal, vypnul vynucení SSL (abych se případně mohl přihlásit bez https) a opět zkusil nastavit nový certifikát. Bohužel opět stejná chyba.

  • Příloha: kerio4.PNG
    (Velikost: 51.24KB, Staženo 120 krát)
  •  
BoBik je nyní offline BoBik

Příspěvky: 407
Odeslat poštu tomuto uživateli
Volba "Rozšířená nastavení" a pak zatrhnout checkbox, že chceš pokračovat na tento web.

Vždyť je to klasická hláška prohlížeče . . . Shocked
  •  
Hans99 je nyní offline Hans99

Příspěvky: 127
Odeslat poštu tomuto uživateli
Ne toto je až ta druhá hláška bez té možnosti, posílám i s tím rozkliknutím, aby bylo jasné, že nejsem úplně blbý Confused

U IE je to podobné, po odkliknutí "pokračovat na tento web" se objeví podobná hláška ale už bez možnosti pokračovat.

  • Příloha: kerio3.PNG
    (Velikost: 51.63KB, Staženo 106 krát)

[Aktualizováno: St, 01 červen 2016 12:05]

  •  
Petr Dobrý (Kerio) je nyní offline Petr Dobrý (Kerio)

Příspěvky: 423

Odeslat poštu tomuto uživateli
A z tohoto obrazku je videt i kde je problem. Ten novy certifikat totiz pouziva SHA-1 a ma platnost dale nez v roce 2016.
Microsoft a vyrobci prohlizecu ten certifikat proto povazuji za neplatny.

Certifikaty pro 2016+ uz by mely byt pouze SHA-256 nebo lepsi.
Kerio Control od verze 8.6.0 generuje certifikaty s SHA-256.

Technická podpora je na adrese http://support.kerio.cz
  •  
Hans99 je nyní offline Hans99

Příspěvky: 127
Odeslat poštu tomuto uživateli
Tak problém nalezen, popíšu příčinu a řešení, kdyby někdo narazil na stejný problém.
Původní certifikát byl uložen v důvěryhodných certifikátech na PC, ALE z nějakého důvodu nebyl mezi těmito certifikáty vidět, pokud si je zobrazíte z IE nebo z Ovládacích panelů - možností internetu. Jsou vidět POUZE z konzole MMC (Certifikáty), alespoň tedy na mých Win7 64bit. Možná proto, že vydavatel bylo nějaké hexa číslo.

Windows zřejmě vyhodnotil nový certifikát jako neplatný, protože se některé údaje shodovaly s tím starým. Takže stačilo v MMC starý certifikát odstranit a nový už pak funguje.

Jinak certifikát byl generován jak jsem psal přímo v Controlu (9.0.3) (self-signed) a je SHA-256, to že Chrome ukazuje SHA-1 zřejmě souvisí s tím, algoritmus kryptografického otisku je stále sha1, zatímco podpisový algoritmus hash je SHA-256. Alespoň tak mi to ukazují podrobnosti certifikátu, jaký je mezitím rozdíl netuším.
Předchozí téma: Přístup k MIkrotik
Další téma: MS Azure Site-to-Site VPN
Jít na fórum:
  


Disclaimer:
Kerio discussion forums are intended for open communication between forum members and may contain information and material posted by members which may be useful in learning about Kerio products. The discussion forums are not intended to provide technical support for any specific product. Any information implied or expressed in the discussion forums is that of the posting member. Kerio is in no way responsible for the information posted in the forums, or its accuracy. Kerio employees may participate in the discussions, but their postings do not represent an offical position of the company on any issues raised or discussed. Kerio reserves the right to monitor and maintain the forums to promote free and accurate exchange of information.

Aktuální čas: Út bře 28 21:47:06 CEST 2017

Celkový čas potřebný k vygenerování této stránky: 0.00449 vteřin
.:: Kontakt :: Domů ::.
Běží na: FUDforum 3.0.4.