Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 16:33



Ответить на тему  [ Сообщений: 12 ] 
ACS WLC certificate not trusted for Apple 
Автор Сообщение

Зарегистрирован: 12 июн 2018, 13:17
Сообщения: 11
Такая вот проблема. Поднял на ACS 5.8 авторизацию через AD, сделал политики подключения, связал ACS с WLC Cisco 2504. В ACS 5.8 импортнул сертификат Let's Encrypt, применил его. Все бы хорошо, но есть проблема, когда пользователи яблоков подключаются вылетает предупреждение по сертификату, not trusted, помогите в чем может быть проблема, хотя сертификат норм, я его применил в ACS на менеджмент интерфейс, в браузере нормально валидно открыватся. Кто с такой уже проблемой сталкивался, или как можно отучить у яблофонов не спрашивать сертификат при подключении?


15 июн 2018, 15:39
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
От бесплатного сертификата более чем идентификацию веб-сервера вы не получите, для корп сети нужно выпускать свои сертификаты с нужными аттрибутами


16 июн 2018, 13:13
Профиль

Зарегистрирован: 12 июн 2018, 13:17
Сообщения: 11
root99 писал(а):
От бесплатного сертификата более чем идентификацию веб-сервера вы не получите, для корп сети нужно выпускать свои сертификаты с нужными аттрибутами

Вопрос тогда как клиенты яблофонов будут этот сертификат воспринимать?Если я своим центром его выпущу, то явно у них он не будет в трастах и будет тоже ругань на него. Может направите как сделать так, чтобы яблофоны или вообще не запрашивали сертификат, или какой надо сгенерить сертификат с нужными атрибутами для Apple девайсов?Спасибо.


18 июн 2018, 13:02
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 1404
0perat0r

вы задаёте вопросы на миллион - как создать свою инфраструктуру PKI этого полно в интернете - как уже дальше выпускать сертификаты с какими аттрибутами тут циско.ком поможет ищите, изучайте....


18 июн 2018, 14:06
Профиль

Зарегистрирован: 12 июн 2018, 13:17
Сообщения: 11
root99 писал(а):
0perat0r

вы задаёте вопросы на миллион - как создать свою инфраструктуру PKI этого полно в интернете - как уже дальше выпускать сертификаты с какими аттрибутами тут циско.ком поможет ищите, изучайте....

как создавать, это не проблема, я уже давно создал и сделал сертификат.но чтобы яблофон его скушал, нужно в него импортнуть мой root CA, тогда конечно он не будет ругаться на сертификат...вопрос в том, почему при отрытии в том же сафари, ACS менеджмент вебку, все отлично и сертификат валидный, а как только wi-fi подключение, валидности нет...вот нашел на форуме такую как у меня проблему:
We have installed a public Thawte cert on Cisco ACS for our Mobile wireless network. I have also installed the Thawte SSL CA - G2 and Thawte Primary Root CA certificate authorities on ACS.

When connecting to the management interface of the ACS server (Since trusted for EAP and management) IE and Chrome trust the cert chain however when attempting to connect my iPhone to the wireless network, the iPhone doesn't trust the cert. We are following the iPhone recommended root CAs https://support.apple.com/en-au/HT205205. I also found this bug regarding the thawte primary root ca G3 therefore not using the G3 root cert http://serverfault.com/questions/630925 ... root-ca-g3.
https://supportforums.cisco.com/t5/othe ... -p/2954958
т.е. тут или в яблофонах такая проблема, что им не нравится цепочка сертификатов, или я не знаю...создавать свой центра CA не вижу смысла, он не будет норм работать, пока в каждый Apple я не импартну свой root CA.


18 июн 2018, 15:03
Профиль

Зарегистрирован: 09 сен 2017, 11:15
Сообщения: 80
Откуда: Default City
Яблоко у себя на сайте публикует каким корневым сертфикатам доверяет - смотрите по нужной версии ОС
https://support.apple.com/en-us/ht204132

Сталкивался с такой проблемой, когда яблоки отбрасывали Thawte. На кого перешел заказчик - не в курсе.

_________________
@k@ fantik


18 июн 2018, 18:51
Профиль

Зарегистрирован: 12 июн 2018, 13:17
Сообщения: 11
CiscoGuy писал(а):
Яблоко у себя на сайте публикует каким корневым сертфикатам доверяет - смотрите по нужной версии ОС
https://support.apple.com/en-us/ht204132

Сталкивался с такой проблемой, когда яблоки отбрасывали Thawte. На кого перешел заказчик - не в курсе.


Вот именно там я и смотрел, и сертификат от Let's Encrypt есть в корнях DST Root CA X3, возможно ему не нравится что есть еще посредники между корневым и моим сертификатом...когда я в сафари его открываю, все норм, а вот при конекте wi-fi не траст он, хотя на маках он траст, но предупреждение вылетает((


18 июн 2018, 19:17
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
ИМХО, забил на эту тему.
Если интерестно, то гуглите на тему редиректа страничек, типа почему Андрюша при попытке авторизации пытается открыть https://www.google.com и вываливается с ошибкой сертификата.


03 июл 2018, 09:21
Профиль

Зарегистрирован: 12 июн 2018, 13:17
Сообщения: 11
AlexSashkaff писал(а):
ИМХО, забил на эту тему.
Если интерестно, то гуглите на тему редиректа страничек, типа почему Андрюша при попытке авторизации пытается открыть https://www.google.com и вываливается с ошибкой сертификата.

Так при чем тут редирект?если там просто прямой доступ идет через сервис ACS.


04 июл 2018, 14:14
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
0perat0r писал(а):
AlexSashkaff писал(а):
ИМХО, забил на эту тему.
Если интерестно, то гуглите на тему редиректа страничек, типа почему Андрюша при попытке авторизации пытается открыть https://www.google.com и вываливается с ошибкой сертификата.

Так при чем тут редирект?если там просто прямой доступ идет через сервис ACS.

Вы вначале попробуйте то что Вам советуют, а потом пузыри пускайте. ИМХО.


05 июл 2018, 12:20
Профиль

Зарегистрирован: 12 июн 2018, 13:17
Сообщения: 11
AlexSashkaff писал(а):
0perat0r писал(а):
AlexSashkaff писал(а):
ИМХО, забил на эту тему.
Если интерестно, то гуглите на тему редиректа страничек, типа почему Андрюша при попытке авторизации пытается открыть https://www.google.com и вываливается с ошибкой сертификата.

Так при чем тут редирект?если там просто прямой доступ идет через сервис ACS.

Вы вначале попробуйте то что Вам советуют, а потом пузыри пускайте. ИМХО.

тогда направьте точнее, немного не уловил смысла, на одном из форумов я вот что нашел, возможно правда в этом.
The trusted CAs only come into effect when navigating to web portals. Because the user is actually initiated a browser session to a secure site where the url is entered.

With eap authentication this behavior is different. When a user sends their credentials the supplicant on the iphone automatically prompts the client to validate the radius server identity. It will also show you that the identity is trusted, but it will still prompt the user by informing them that their credentials are being forwarded to a specific radius server.

You can also verify this by using a windows machine, if you set the supplicant to "validate the server certificate" but leave the certificate entries unchecked, you will still be prompted to validate the radius server's identity.


05 июл 2018, 12:22
Профиль

Зарегистрирован: 12 июн 2018, 13:17
Сообщения: 11
Уже разобрался с сертификатом, оказывается надо просто правильно задать настройки на самом ACS в меню Default Network Access в подменю Allowed Protocols выбрать только Allow PEAP и Prefered EAP protocol PEAP. После этого на мак мини полет отличный, на сертификат не ругается, даже сообщение не выводится как раньше было, предупреждение, хотя сертификат был валидный. Но вот хоть убей на iphone таже шляпа, сертификат not trusted, хотя ROOT CA для Let`scrypt есть в стореджах на телефоне, но вот может нет пограничного сертификата Let`s Encrypt Authority X3 который и выдал мне конечный сертификат. У кого какие могут быть мысли на этот счет?


10 июл 2018, 16:25
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 12 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 44


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB