Bonjour,
Je viens de récupérer une config qui me parait étrange et n’étant pas un pro de la CSG notamment partie sécurité j’aimerais dans la mesure du possible quelques éclaircissements.
Un site possèdant deux serveurs citrix et une csg possède des utilisateurs distants (Wyse et Pc portable) qui se connectent via une CSG.
Ils doivent possèder un certificat leur permettant de lancer les applications.
Or, j’ai un mal fou à retrouver ce fichu certificat d’autant que le client n’a jamais géré cette partie (gérée par un prestataire).
Conclusion directe, lorsque je veux me connecter comme un utilisateur lambda, je parviens à m’identifier mais au lancement d’une application, je rencontre l’erreur SSL 61 …
En regardant le certificat installé sur les pc portable pour lesquels cela fonctionne, j’ai remarqué que le certificat était émis par le controleur de domaine du client.
J’aimerai comprendre comment fonctionne toute cette partie d’autorisation, de certificat, d’autant que je devrais la réexpliquer au client et lui recréer des certificats, les présents expirant prochainement.
Enfin, le certificat que l’on doit sélectionner lors du paramétrage de la CSG, je ne vois pas comment le renouveler.
En esperant avoir été clair.
Merci d’avance
Thomas
c’est un sujet assez complexe. Un whitepaper sur le SSL relay écrit par JayT sur la KB Citrix existe toujours et donne un bel aperçu du fonctionnement des certificats.
en gros :
- il faut une autorité de certif (soit payante comme Verisign, soit gratos comme celle de Win2000/2003/2008)
- il faut un certificat racine (celui de l’autorité de certif) qui permet de valider le certificat serveur
- un certificat serveur (émit par l’autorité de 1.) pour tous les serveurs qui doivent offrir du SSL (en l’occurence chez toi ton serveur CSG)
- le certificat racine doit donc etre présent sur TOUTES les machines qui devront initier une communication en SSL avec un serveur “protégé” par le mode 3
pour une auto MS, le certificat est facilement obtenu via http://monserveurdecertif.ma.societe.com/certsrv
pour verisign et autres, c’est inclus en standard dans FF, Opera, IE etc
Bonjour,
Merci j’avais presque tout compris alors …
Je suppose donc que lorsque le service “Autorité de certification” est crashé sur le serveur W2003 qui a émis le certificat, la connexion depuis un nouveau poste qui n’avait pas encore le certificat pose problème (erreur SSL61 dont je parlais …)
Actuellement le service certsrv du serveur 1. est endommagé, impossible de le redémarrer, cependant les postes clients qui ont déjà le certificat réussissent tout de même à se connecter, est ce normal ? (je pense que oui).
Merci encore
Thomas
oui l’opération de récupération du certificat racine pour les machines clientes est MANUEL : il faut installer le certificat sur les postes clients ils ne le récupèrent pas automatiquement
Dernière question à ce sujet qui relève complètement de Windows.
Est ce que réinstaller complètement le service de certificats sur le serveur controleur de domaine (le meme serveur donc) engage la création de nouveaux certificats et l’expiration de ceux fonctionnants actuellement ?
Merci
Thomas
les certificats déjà créés n’expireront pas et seront reconnus par les machines clientes équipées du certificat racine MAIS il ne sera plus possible de récupérer le certificat racine depuis l’autorité de certif ni donc d’émettre de nouveaux certifs pour cet ancien certificat racine.
donc sous entendu, une reinstall de l’autorité entraine la création d’un certificat racine totalement nouveau et oblige à recréer des certificats serveurs/utilisateurs ou tout autre type déjà créé