[Secure GATEWAY] Interrogation sur la configuration

frederichuet · Mai 10, 2012, 8:55

Bonjour,

J’ai mis en place une Secure Gateway afin de faire profiter des applications publiées aux utilisateurs externes et à l’équipe informatique lors du télétravail.

Ma Secure Gateway est en Version 3.1.0 (Edit: Secure Gateway Diagnostics) le serveur qui héberge la SG est un Windows 2003 SP2, il est aussi serveur IIS, FTP(pour les certificats de SG) et donc aussi Web interface en Version 5.4.

Ce serveur se nomme "frsrv001"

Pour des raisons économiques, j’ai créer les certificats par le biais de Microsoft. J’ai donc créer un serveur de certificats. il se nomme "proxisrv001"

J’ai donc deux certificats:

Un certificat Root= nommé ROOT_CA

Un certifiçcat Serveur= nommé frsrv001

L'installation de la SG + WI se présente bien, les certificats sont bien visible dans les autorités de certificats de confiance.

L'url de lma SG via l'extérieur se nomme "https://workspace.nomduclient.fr"

Je me connecte sur mon pc portable1 sur une ligne ADSL externe à la société afin de valider le bon déroulement.
Le site est OK, authentification est Ok, visibilité des applications publiées est OK.

Lancement de l'application "Notepad" .. un message d'erreur de SSL.

Après recherche sur le net, je constate que les certificats ne se sont pas installé sur mon poste client. !!!

J'installe les certificats en passant par le site FTP de la Secure Gateway pour installer les certificats Root et Serveur que j'ai exporté au préalable.
Re test du lancement de l'application, identique :-[ :-[

Re test sur un autre PC portable2 là tout est OK :-* :-*
La différence entre les deux portables c'est que le PC portable2 a le fichier "host" de modifier, du type:

81.244.244.233 frsrv001

Etant donnée que c'est ma première installe de Secure Gateway, j'ai peux être fait des erreurs de configuration, mais je ne trouve pas çà normale d'ajouter le fichier "host" aux utilisateurs externes à la société, pour les certificats je peux le comprendre vu qu'il ne sont pas signé Veritas...

Avez vous une piste ou est ce normal concernant le fichier Host.
Merci d'avance.

ThinIsFat · Mai 11, 2012, 8:13

non tu ne dois pas modifier le fichier host, encore heureux !

par contre, tu indiques une erreur SSL lors de la session ICA alors que le site WI passe correctement.

As-tu configuré ta SG pour sécuriser le trafic de la WI, j’imagine que oui…

la difficulté avec un certificat privé, c’est l’enregistrement de celui-ci au bon endroit sur la machine cliente; par défaut, si tu double clic sur le certificat racine depuis la machine cliente, il sera installé dans le Trusted Root de l’utilisateur… alors qu’il doit être dans le Trusted Root de la machine pour fonctionner correctement avec le client ICA

kikilourdingue · Mai 11, 2012, 10:09

Bonjour,

Ton certificat doit s’appeler workspace.nomduclient.fr. Sur le poste client, il faut juste installer le CA dans ton cas ROOT_CA . Attention, je te conseille de l’installer avec la mmc et ajoute le composant Certificat Machine, puis tu vas dans Autorité de Certification et tu importes le certificat, si tu le fais en automatique ton CA va s’installer sur ton compte et non sur le compte de la machine.

Tu peux modifier le fichier host en mettant :

81.244.244.233 workspace.nomduclient.fr

si cela n’est pas reconnu par tes DNS

Cordialement

frederichuet · Mai 23, 2012, 2:46

Merci pour vos réponses.

Désolé de ne pas avoir pu vous remercier avant…

J’ai effectivement résolu mon problème enfin en partie.

J’ai re créer mon certificat avec le bon nom du site “workspace.nomduclient.fr” et là nickel plus erreur dans les certificats et du coup plus d’erreur aussi via Internet explorer sur les certificats lors du passage en HTTPS.

Plus besoin non plus de modifier le fichier Host.

Donc merci pour ce point.

kikou2707 · Septembre 29, 2012, 4:39

Bonjour frederichuet,

Je rencontre un problème similaire au tiens, peut-être pourrais-tu m’aider à ce sujet. Je m’explique j’ai installé une secure gateway qui fonctionne avec le certificat etc. Dès que je je me connecte à mon url en https, j’ai la WI qui apparait, les applications publiées aussi l’authentification ok mais ensuite le client ica se lance et mouline, et apparait le message comme quoi l’application n’est pas disponible réessayez plus tard. Aurais-tu rencontré ce problème ou aurai-tu une piste à me donner ?

Merci d’avance