3

IE начал демонстрировать странное поведение. У нас есть несколько узлов внутренней сети (маршрутизаторов), которые настроены на использование HTTPS для доступа, но на которых есть недоверенные / самозаверяющие сертификаты. В какой-то неопознанный момент в недавнем прошлом не было проблем с подключением к этим устройствам. Это больше не правда. Когда вы пытаетесь подключиться и выбираете вариант 3 ("для подключения к сайту в любом случае"), IE немедленно возвращается с экраном "Соединение недоступно". Это происходит в IE8 и сейчас (тьфу) ie9.

Firefox не имеет проблем с подключением к этим местам, что указывает на то, что это не проблема стека TCP. Google Chrome не может подключиться; но тогда Google Chrome терпит неудачу во многих вещах.

Мы попытались добавить их в качестве доверенных сайтов. Нет разницы.

Очевидно, что есть какие-то непонятные настройки или MS выпустила патч, который ломает вещи. Есть идеи?

3 ответа3

3

Эта проблема вызвана недавним обновлением ms: kb2585542

Существует исправление, связанное с ms12-006, которое позволяет отключить часть обновления. Проблемы описаны по адресу http://support.microsoft.com/kb/2643584

В частности, Microsoft Fix it 50824 необходимо применять. Затем вам нужно обновить, т.е. использовать только ssl3 и tls1.2, и для наших систем это решило проблему

0

Если у вас есть несколько таких серверов, вероятно, стоит иметь небольшой внутренний центр сертификации:

  • Создайте небольшой центр сертификации, в частности собственный сертификат СА + его закрытый ключ.
  • Выпустите сертификаты, используя этот CA для каждого из ваших внутренних серверов (и настройте его на этом сервере).
  • Импортировал сертификат CA как доверенный сертификат на ваших компьютерах в интрасети.

Таким образом, вам не придется обрабатывать исключения каждый раз, когда вы добавляете новый сервер в свою интрасеть. Если вы новичок в этом, это может быть немного хлопотно, но это чистый способ сделать это.

Существуют инструменты, которые помогут вам настроить CA. В зависимости от размера может быть достаточно что-то вроде Tiny CA. Вы можете найти другие предложения в ответах на этот вопрос: https://security.stackexchange.com/q/7030/2435

Убедитесь, что имена хостов в выдаваемых вами сертификатах находятся в записи DNS «Альтернативное имя субъекта» и (на всякий случай) в RDN CN «Отличительного имени субъекта».

0

Проверьте раздел сертификата в ваших браузерах. Если есть сертификаты от этих устройств, удалите их, очистите кеш браузера и перезапустите браузер.

Мои HP ILO иногда делали это с самозаверяющими сертификатами. Как только вы принимаете сертификат, он устанавливает его, но при следующем подключении он по какой-то причине запутывается. По крайней мере, FF и IE привыкли запутываться.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .