Сертификаты, шлюз подключений и мобильные устройства

[Fortex 0]

Всем привет.

Сервер был установлен года 3 назад и подключение из глобальной сети не предполагалось, поэтому был установлен с локальным доменным именем и сертификатом по этому же имени. Допустим kes.company.local .

В связи с развитием компании появилась нужда в соединении мобильных устройств Android из глобальной сети. Для этой роли был выбран шлюз подключений на основе агента в ДМЗ и задано одно доменное имя для шлюза и сервера:

kes.company.ru. Внутри сети оно ссылается на сервер KSC, из глобальной сети оно ссылается на шлюз подключений.

Был перевыпущен сертификат для мобильных устройств на новое доменное имя и внутри сети мобильные устройства успешно соединяются с сервером, а вот из интернета нет - при соединении подключение (ожидаемо) приходит на шлюз, но отбивается в связи с "Ceritficate unknown". И это не удивительно, так как шлюз использует для соединения сертификат сервера, который еще на старое доменное имя, он использует его как для сервера так и для соединения с мобильными устройствами - соответственно  с сервером успешно соединяется, а с устройствами нет, так как у них сертификат на новое имя.

Из этого вопрос(ы):

Как полностью везде заменить сертификат сервера на новое доменное имя? или Как заставить шлюз использовать для соединения с сервером сертификат сервера, а для соединения с мобильниками сертификат для мобильных устройств.

 

 

Версия сервера: 13.1.0.8324, агента 13.1.0.8324, KESM 10.8.3.125

[oit 2 139]

А порты открыты?

[Fortex 0]

Ну конечно открыты.

Я же написал: "при соединении подключение (ожидаемо) приходит на шлюз".

А "Ceritficate unknown" я взял из дампа Wireshark при попытке синхронизации мобильного устройства из интернет со шлюзом.

[oit 2 139]

А в свойствах точки распространения на ксц - шлюз указано новое доменное имя в самом низу?

Там как раз пишется, что дом имя включается в сертификат

[Fortex 0]

Да, конечно.

Там два имени, сначала новое, потом старое доменное имя.

ЗЫ: было, правда через точку с запятой написано, а надо через запятую - исправил, шлюз синхронизировался с сервером, но мобильные устройства все равно не подключаются по той же ошибке. После изменения в этом поле не нужно ли агента переставлять?

Изменено 7 октября, 2021 пользователем Fortex

[oit 2 139]

Переставлять агента не нужно.

Он же по днс имени шлюза у вас ставился, а не ксц?

Или по ксц? Тогда профиль переключения настроен в политике агента?

[Fortex 0]

Амм... не понял вопросов...

Профили точно никакие не настроены. Ибо не понимаю зачем.

 

Я бы понял надстройку профиля устройств на основе подсети: внутри сети использовать сервер, снаружи сети использовать шлюз. Условие задается локальными подсетями, если телефон не вних - считается что он снаружи и применяется профиль использования подключения через шлюз.

Но какой профиль и зачем настраивать для агента шлюза, я не пойму.

Изменено 7 октября, 2021 пользователем Fortex

[oit 2 139]

1 час назад, oit сказал:

Он же по днс имени шлюза у вас ставился, а не ксц?

Как ставился агент?

Что в нем указывалось в качестве сервера?

[Fortex 0]

Агент ставился из автономного инсталляционного пакета с указанием в нем доменного имени kes.company.ru. В нем используется сертификат сервера по умолчанию, а там домен указан старый kes.company.local....

Пробовал подпихнуть туда сертификат от мобильных устройств с доменом kes.company.ru из папки сервера, но с ним агент перстал подключаться к серверу. Смогли бы с этим сертификатом подключиться мобильные устройства проверить не смог, потому как для этого на сервере нужно включить для шлюза порты для мобильных устройств, а агент к серверу не подключается из-за сертификата.

Изменено 7 октября, 2021 пользователем Fortex

[oit 2 139]

13 минут назад, Fortex сказал:

сервере нужно включить для шлюза порты для мобильных устройс

Надо, а вы что там галочки не поставили?

А попробуйте агента на мобилке поставить с указанием имени шлюза

[Fortex 0]

8 минут назад, oit сказал:

Надо, а вы что там галочки не поставили?

А попробуйте агента на мобилке поставить с указанием имени шлюза

Естественно ставил.... Как бы мобильное устройство тогда бы вообще подключалось, если порты были бы закрыты?!

В смысле с указанием имени шлюза? Доменного имени шлюза? Так оно одинаковое для сервера и шлюза, в первом сообщении об этом писал. Просто внутри сети это имя ссылается на сервер, а в интернет оно ссылается на шлюз.

[oit 2 139]

Не понял.

У вас же этот шлюз указан как точка распространения?

У них не может быть одинаковых имени.

[Fortex 0]

Почему не может быть? Очень может быть.

kes.company.ru указан и для сервера и для шлюза. Внутри сети он резолвится в внутренний ИП сервера, в глобальной сети он резолвится в ИП шлюза соединений.

И в тех поддержке ответили, что с версии 13 сервера и агента, + 124 билд мобильного приложения - так должно работать. 

[kmscom 2 286]

Есть неписаное правило, если обратился к одной гадалке, то к другой не обращайся.

 

Если вы обсуждали вопрос со специалистами техподдержки, то с ними бы и продолжали обсуждение, зачем начинать новое с простыми пользователями.

[Fortex 0]

Потому, что то обсуждение было по другому вопросу и этот ответ был дан как ответвление обсуждаемой темы.

А тут я задал вопрос, потому как схема достаточно тривиальная и, скорее всего, ее уже кто-то реализовывал - поэтому надеялся получить ответ быстрее, чем отвечает тех.поддержка. Ответа в ТП приходится ждать по 2-3 дня - это не серьезно.

В ТП этот вопрос тоже был задан, но она до сих пор молчит, а тут, как видите, уже обсуждение почти на страницу.....

Однако, теперь вижу, что тема не востребована (что очень странно, неужели никто не следит за корпоративными девайсами за пределами своей сети?! - так себе решение в плане секьюрности), поэтому реализовано в софте она через одно место....

Изменено 8 октября, 2021 пользователем Fortex