Хвостат Хвостатыч (hvostat_hvostat) wrote,
Хвостат Хвостатыч
hvostat_hvostat

Category:

ЧЯДНТ?

Вопрос про IIS и X.509 к уважаемой аудитории.

Внимание на экран:


Задача: аутентифицировать клиента, желающего посмотреть веб-сайт, с помощью сертификата.

Есть три сервера:
DOG.adatum.com - Stand-Alone Certification Authority
EYE.adatum.com - IIS
PAL.adatum.com - Client

Overview, кратко:
0) Корневой сертификат DOG’а и устанавливаем в доверенные на EYE и PAL.
1) Генерируем запрос и выпускаем сертификат сервера для EYE, на DOG’е. Устанавливаем.
3) Генерируем запрос на сертификат для PAL’а и выпускаем его на DOG’е.
4) Создаём простой static веб-сайт на EYE.
5) Создаём пользователя на EYE, который имеет права на просмотр этого сайта.
6) Конфигурируем one-to-one certificate mapping на EYE, где привязываем пользователя к сертификату.

Пытаемся просмотреть наш веб-сайт с PAL’а.
Начало хорошее: веб-север убедительно просит предъявить сертификат.
ОК, предъявляем.
И получаем вместо веб-сайта экологически чистый кукиш с маслом следующго вида:
"HTTP Error 403.13 - Forbidden: Your client certificate was revoked, or the revocation status could not be determined"

Блядь, ну само собой разумеется, что сертификат никто не отзывал.
CDP CRL в CA сконфигурирован верно и проверен: CRL можно скачать без проблем.

Внимание, вопрос: куда копать?

За правильно указанный вектор вознаграждение гарантируется.
PS: За предложение отключить проверку CRL - желаю вам уронить на мизинец левой ноги СХД. С ДИСКАМИ.



_
Tags: iis, microsoft, бНОПНЯ
Subscribe

  • "Дыра в почтовичках"

    Уважаемые коллеги, алярма! У кого работают: Exchange Server 2010 Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 ? Срочно,…

  • "Неверный пароль при импорте *.pfx"

    Проблема: При попытке импортировать свежеэкспортированный файл сертификата PFX, получаем отлуп "неверный пароль". При этом имеется уверенность,…

  • "Ура, ура, в RDP дыра: BlueKeep-2"

    Коллеги, недоброе утро! Тут в RDP очередная уязвимость образовалась: CVE-2019-1182 Уязвимость ОЧЕНЬ серьезная - "Remote Code Execution" Уязвимы…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 15 comments

  • "Дыра в почтовичках"

    Уважаемые коллеги, алярма! У кого работают: Exchange Server 2010 Exchange Server 2013 Exchange Server 2016 Exchange Server 2019 ? Срочно,…

  • "Неверный пароль при импорте *.pfx"

    Проблема: При попытке импортировать свежеэкспортированный файл сертификата PFX, получаем отлуп "неверный пароль". При этом имеется уверенность,…

  • "Ура, ура, в RDP дыра: BlueKeep-2"

    Коллеги, недоброе утро! Тут в RDP очередная уязвимость образовалась: CVE-2019-1182 Уязвимость ОЧЕНЬ серьезная - "Remote Code Execution" Уязвимы…