Назад | Перейти на главную страницу

SonicWall и Windows CA

Я пытаюсь импортировать сертификат, созданный центром сертификации, который я установил в Windows, с помощью AD CS. Я сделал следующее:

1) Создал собственный CA (MyCompany)
2) Включены веб-службы (в основном для простоты настройки)
3) Сгенерировал запрос сертификата на самом Sonicwall
4) Использовал веб-сервисы для подписания сертификата
5) Импортировал сертификат подписи в Sonicwall ... это привело к тому, что сертификат показал «Нет» для поля «Проверено».
6) Импортировал сертификат CA.

Вот где я застреваю. Я попытался импортировать список CRL, но получил следующую ошибку: CRL Error - Verification failed using CA certificate. Больше никаких ошибок в журналах не появляется. Без списка CRL сертификат не будет проверяться, и он не отображается на странице «Администрирование», поэтому я могу выбрать его для использования через HTTPS.

Любые идеи?

Изменить: из Sonicwall, когда я пытаюсь использовать свой опубликованный список HTTP:

07/02/2013 14:33:54.256 Alert   VPN PKI Cannot Validate Issuer Path         HTTPS        
19  07/02/2013 14:33:54.256 Alert   VPN PKI CRL validation failure for Root Certificate         MyCompanyCA      
20  07/02/2013 14:33:54.256 Alert   VPN PKI Failed to Process CRL from           http://crl.mydomain.com/Cert
Enroll/ CA: MyCompanyCA

Итак, вернувшись к этому с совершенно новым ЦС, кажется, что на самом деле ошибка с SonicOS 5.8, которая вызывает эту проблему. Мой сертификат CA - SHA512, а SonicOS поддерживает только SHA1. К сожалению, я пока не могу перейти на 5.9 (что решает проблему). Если это кому-то поможет, отлично.

Что ж, догадываясь, давайте сделаем следующее:

  • Давайте начнем с глупого: вы уверены, что импортируете правильный файл ?! :)

  • DNS правильный? Может ли sonicwall успешно разрешить crl.mydomain.com?

  • Время правильное? убедитесь, что у вас настроен ntp-сервер с обеих сторон, обычно для управления сертификатами требуется правильное время.

  • Действительно ли url-адрес crl загружает что-нибудь?

  • Можете ли вы увидеть журналы CA Windows, чтобы убедиться, что файл загружен? или даже лучше, загрузите сниффер (например, wirehark) в Windows CA и посмотрите, получите ли вы какой-либо запрос, на каком порту вы получите запрос и что вы ответите в ответ. Если ничего не получается, проверьте брандмауэр, проблемы с маршрутизацией, acl и т. Д.

Если вы получили запрос и успешно ответили с действительной информацией, вероятно, это проблема sonicwall.

Если все не удается, откройте запрос на обслуживание в SonicWall, они должны помочь вам отладить проблему.