2. Fórumok
  3. OS, alkalmazások
  4. Microsoft Outlook topic
Keresés

Új hozzászólás Aktív témák

  • #287 Rici tag wnix #285
    Új Válasz #287
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Rici

    tag

    válasz wnix #285 üzenetére

    A tanúsítványok valóban nagyon sokféle dologról szólhatnak, de én is inkább X-COM-mal értek egyet, pontosabban ugyanott akadok el: miért egy alhálózat van megadva Common Name-ként?

    Mindenesetre a szerver-hitelesítés a következőként működik: beírod a kliens programba a szerver nevét, a progi a névből, hogyha eleve nem egy IP cím volt, akkor megkeresi a szerver IP címét, felveszi a kapcsolatot a szerverrel. A szerver elküldi a saját tanúsítványát, amiben ugye szerepel egy Common Name, meg egy aláírás egy CA root-tól, meg még egy csomó egyéb is. A kliens proginak egyrészt meg kell bíznia a CA root-ban, mert ugye a CA root írta alá a dolgot, tehát csak akkor hisszük el, hogy valódi a tanúsítvány, hogyha tényleg a CA root írta alá. Másik dolog, hogy a tanúsítványban szereplő Common Name-nek meg kell egyeznie a kliens progiba beírt szervernévvel.

    Ha ezek teljesülnek, (meg még a tanúsítvány érvényességi ideje sem járt le), akkor a kliens progi elhiszi, hogy valóban azzal a szerverrel kommunikál, amivel akar, és elkezd kommunikálni.

    Ha a feltételek nem teljesülnek, akkor a kliens progi dönti el, hogy mit csinál, pl. megkérdezi a usert, hogy a hibás dolgok ellenére kommunikáljon-e, vagy esetleg meg sem kérdezi a usert, hanem úgy dönt, hogy nem is kommunikál, esetleg úgy dönt, hogy kommunikál.

    Ugye nálad az a gáz, hogy a Common Name az 10.0.0.0, ami elég érdekes egy dolog, mert elvileg a Common Name-nek egy DNS névnek kell lennie, de elvileg még IP-vel is működhet a dolog. Viszont 10.0.0.0 néven biztos, hogy nem tudod megszólítani a szervert, tehát a kliens programnak panaszkodnia kell, hogy a Common Name nem egyezik.

    Egyébként nézd már meg HTTPS-sel a szervert, és nézd meg, hogy ott milyen Common Name dolgot ír ki, és ezt hasonlítsd össze az Outlook által kiírt Common Name-mel.

  • #289 Rici tag wnix #288
    Új Válasz #289
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    Rici

    tag

    válasz wnix #288 üzenetére

    Sztem eléggé kifacsarva használod te ezt az egész CA dolgot. Ez olyan, mintha egy autót mindenáron csak rükvercben akárnál használni, és ugyebár így is ''elvileg'' mindenhová el lehet vele jutni, mégis panaszkodnál, hogy valami nem passzol ezzel az autóvezetés dologgal, és nem akar rendesen menni a kocsi.

    Pl. ajánlom a következő módszereket bevetni, hogy a szokásoshoz közelítő módon használd a dolgot.
    1. A központi CA-ban bízzanak meg a kliensek. Bár írtad, hogy az IE megy, végülis az IE úgy is hajlandó menni, hogy figyelmeztet, hogy nem bízol me a CA-ban, és továbbmegy. Az Outlookról elképzelhető, hogy csak akkor hajlandó menni, ha valójában megbízol a CA-ban. (Bár a mellékelt screenshot-ban az is pont egy olyan ablakot dobott fel, hogy folytatjuk-e megbízhatatlan CA-val.)
    2. A CN egyezzen már meg a szervernek azzal a nevével, amivel megszólítod a szervert.
    3. Ez ugyan nem tartozik a szerver hitelesítéshez és tanúsítványhoz, de írtad, hogy a klienseken is a szervertanúsítványt használod. A klienseken ne ugyanazt a szervertanúsítványt használd, hanem ahogy szokás, klienstanúsítványt. (Ami ugye normál esetben egy userhez szokott tartozni.)

Új hozzászólás Aktív témák