Foros del Web » Administración de Sistemas » Seguridad y redes » Administración de redes corporativas »

Certificados en otra subred, puertos

Estas en el tema de Certificados en otra subred, puertos en el foro de Administración de redes corporativas en Foros del Web. Buenas tardes, Me gustaría hacer una pregunta: Tengo una DMZ donde están mis controladores de dominio, Exchange, etc. Por otra parte tengo una LAN, donde ...
  #1 (permalink)  
Antiguo 10/06/2011, 06:46
 
Fecha de Ingreso: marzo-2004
Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 9 meses
Puntos: 1
Certificados en otra subred, puertos

Buenas tardes,

Me gustaría hacer una pregunta:

Tengo una DMZ donde están mis controladores de dominio, Exchange, etc.

Por otra parte tengo una LAN, donde están todos los clientes.

En medio de DMZ y LAN, un ISA Server.

Entre el ISA Server y la LAN un Pc con un software Proxy para controlar salidas a internet de mis clientes LAN.

Todo funciona perfectamente, excepto esto:

Tegno creada una plantilla del certificado Usuario, una plantilla duplicada , y en la que la gente puede inscribirse automáticamente, osea, cuando el usuario inicia sesión es emitido un certificado de usuario que puedo ver en el almacén personal. No es ningún problema en la DMZ porque allí reside mi C.A con la PKI, el problema surge cuando el usuario se loga en una estación que está detrás del ISA y el Proxy según el escenario que puesto arriba.

Me gustaría incidir en que si el usuario se loga en una máquina de la DMZ donde residen como digo el servidor que hace de C.A o Entidad emisora de certificados, no hay problema, los certificados se emiten perfectamente.

No sé si en ISA o en el software Proxy debo dejar pasar un protocolo especial , esto es lo que pienso pero no sé que protocolo podría ser.

Todo esto es porque quiero que mis clientes LAN tengan S/MIME en OWA, osea, en https://mail.midominio.es/exchange y firmen y encripten sus emails a una compañía con la que tenemos relación estrecha y los emails han de ir firmados y encriptados.

Gracias de antemano !
__________________
Luis Olías
Sevilla,España
Spain
  #2 (permalink)  
Antiguo 13/06/2011, 09:49
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Certificados en otra subred, puertos

El unico puerto necesario para acceder por https es el 443 (por defecto).

Verifica qeu lo tienes abireto y asegurate de que tus politicas de seguridad permiten usar certificados para subredes diferentes a la de la CA.
  #3 (permalink)  
Antiguo 14/06/2011, 00:41
 
Fecha de Ingreso: marzo-2004
Ubicación: Sevilla, España
Mensajes: 131
Antigüedad: 20 años, 9 meses
Puntos: 1
Respuesta: Certificados en otra subred, puertos

Hola Moeb,

Gracias por tu tiempo.

Por https llego perfectamente desde la LAN a la DMZ, de hecho los clientes se logan perfectamente en los controladores de dominio de la DMZ porque permito en ISA Kerberos, LDAP, y otros necesarios según documentación Microsoft.

El problema es otro, el de la emsión de certificados de mi C.A a las red LAN. La C.A emite los certificados automáticamente a los usuarios logados en la DMZ, porque es donde está la C.A , pero al atravesar el ISA, es donde se encuentra el problema, yo sé que tengo que permitir un tráfico, pero se se que puertos son, esta era la pregunta.

Muchas gracias de nuevo !
__________________
Luis Olías
Sevilla,España
Spain
  #4 (permalink)  
Antiguo 14/06/2011, 02:50
 
Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 10 meses
Puntos: 81
Respuesta: Certificados en otra subred, puertos

Asegurate de haber dado todos los pasos correctos...

No acabo de entender en que punto te quedas (¿a la hora de asignar automáticamente los certificados a los clientes? ¿Estando estos logeados en el dominio?... ¿A la hora de usar esos certificados y validarlos contra la CA?... No me queda claro)...

En cualquier caso echa un ojo a este artículo (en realidad son 3). Igual encuentras algo que te interese:

http://www.isaserver.org/tutorials/p...004-part1.html

Etiquetas: win2003
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 02:30.