Для прохождения аттестации на соответствие требованиям стандарта PCI DSS потребовалось настроить 2-х факторную аутентификацию. А так как у нас в качестве фаервола используется решение от Cisco, то решили его и использовать… Казалось бы ничего сложного, — все уже давно изучено и не один раз настроено и легко можно найти необходимые инструкции, например, эти:
Cisco ASA with Radius and Certificates for Two-Factor Authentication (using a Microsoft CA)
но, как обычно и бывает с подобными «универсальными» инструкциями — тонкости они не учитывают, а это как раз и занимают бОльшую часть времени, при развертывании. об этих моментах мне как раз и хочтся вам рассказать. надеюсь, это вам позволит сэкономить массу времени!
Первым неприятным моментом оказолось то, что Offline Root CA выдал сертификат для Subordinate Issuing CA сроком на 1 год(!) и это, не смотря на заранее созданный
[Version] Signature="$Windows NT$" [PolicyStatementExtension] Policies=InternalPolicy [InternalPolicy] OID= 1.2.3.4.1455.67.89.5 Notice="Legal Policy Statement" URL=http://www.contoso.com/pki/cps.txt [Certsrv_Server] RenewalKeyLength=2048 RenewalValidityPeriod=Years RenewalValidityPeriodUnits=20 CRLPeriod=weeks CRLPeriodUnits=26 CRLDeltaPeriod=Days CRLDeltaPeriodUnits=0 LoadDefaultTemplates=0 AlternateSignatureAlgorithm=1 поэтому внимательно проверяйте срок действия сертификата и если он выдан на 1 год, — сразу меняйте. изменить можно так:
Нажмите кнопку Пуск и выберите команду Выполнить.
В поле Открыть введите команду regedit и нажмите кнопку ОК.
Найдите и выделите следующий раздел реестра:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\CertSvc\Configuration\ < Имя_цс >
В правой области дважды щелкните ValidityPeriod.
В поле значение введите введите одно из следующих действий и нажмите кнопку ОК:
Дней
Недели
Месяцев
Лет
.
В правой области дважды щелкните ValidityPeriodUnits.
В поле значение введите числовое значение, которое требуется и нажмите кнопку ОК. Например введите 2.
Остановите и перезапустите службы сертификации. Для этого:
Нажмите кнопку Пуск и выберите команду Выполнить.
В поле Открыть введите команду cmdи нажмите кнопку ОК.
В командной строке введите следующие команды. Нажмите клавишу ВВОД после каждой строки.
certsvc net stop net start certsvc
Введите exit для выхода из командной строки.
а еще грубой ошибкой было игнорирование предупреждения от Microsoft:
Caution-Внимание
Клиенты сертификатов под управлением Windows XP и Windows Server 2003 не поддерживают альтернативный алгоритм подписи. Чтобы такие клиенты могли подавать заявки на сертификаты, не добавляйте строку AlternateSignatureAlgorithm=1 в файл CAPolicy.inf. Дополнительные сведения см. в разделе Рекомендации по использованию альтернативных форматов подписи.
поэтому — уберите из CAPolicy.inf строку AlternateSignatureAlgorithm=1, иначе заимете проблему с установкой сертификатов на ASA: Microsoft CA RSASSA-PSS Algorithm Issue with ASA
решается изменением параметров в реестре:
«ProviderType»=dword:00000000
«Provider»=«Microsoft Software Key Storage Provider»
«HashAlgorithm»=dword:00008004
«CNGPublicKeyAlgorithm»=«RSA»
«CNGHashAlgorithm»=«SHA1»
«AlternateSignatureAlgorithm»=dword:00000001
«MachineKeyset»=dword:00000001
и перевыпуском всех сертификатов…
ну и наконец, — третий момент был связан с настройкой параметров SSL на ASA, а именно TLS V1 и соотв. Cipher (версий и алгоритмов). На момент развертывания инфраструктуры PKI у нас была установлена прошивка asa911-smp-k8, которая не позволяла это нормально настроить. Приняли решение обновиться на версию asa941-smp-k8, но снова не совсем внимательно прочли порядок обновления конфигурации. заимели вот такую странную ошибку:
— это при попытке загрузить файл прошивки на железку 🙂 А всего лишь необходимо было сначала установить прошивку версии asa912-smp-k8
Надеюсь, кому-то эти знания и опыт пригодятся. Удачи!
ссылка на оригинал статьи http://habrahabr.ru/post/256139/
Добавить комментарий