SonicWall e Windows CA

5

Estou tentando importar um certificado criado por uma CA que eu configurei no Windows usando o AD CS. Eu fiz o seguinte:

1) Criei minha própria CA (MyCompany)
2) Serviços da Web habilitados (principalmente para facilitar a configuração)
3) Gerou um pedido de certificado na própria Sonicwall
4) Serviços da Web usados para assinar o certificado
5) Importou o certificado de assinatura para o Sonicwall ... Isso fez com que o certificado mostrasse "Não" para o campo Verificado.
6) Importado o certificado da CA.

Aqui é onde eu fico preso. Tentei importar a lista da CRL, mas recebo o seguinte erro: CRL Error - Verification failed using CA certificate . Nenhum outro erro aparece nos logs. Sem a lista de CRL, o certificado não será verificado e não aparecerá na página "Administração" para que eu possa selecioná-lo para uso via HTTPS.

Alguma idéia?

Editar: do Sonicwall quando tento usar minha lista publicada HTTP:

07/02/2013 14:33:54.256 Alert   VPN PKI Cannot Validate Issuer Path         HTTPS        
19  07/02/2013 14:33:54.256 Alert   VPN PKI CRL validation failure for Root Certificate         MyCompanyCA      
20  07/02/2013 14:33:54.256 Alert   VPN PKI Failed to Process CRL from           http://crl.mydomain.com/Cert
Enroll/ CA: MyCompanyCA
    
por Nathan C 02.07.2013 / 18:45

2 respostas

4

Então, depois de voltar a isso com uma nova CA, parece que há realmente um bug com o SonicOS 5.8 que causa este problema. Meu certificado de CA é SHA512 e o SonicOS suporta apenas SHA1. Infelizmente não posso atualizar para 5.9 ainda (o que resolve o problema). Se isso ajuda alguém mais, incrível.

    
por 07.02.2014 / 21:40
0

Bem, fazendo estimativas loucas, vamos fazer isso:

  • vamos começar com a coisa estúpida: você tem certeza de que está importando o arquivo correto ?! :)

  • O DNS está correto? A sonicwall pode resolver com êxito o crl.mydomain.com?

  • A hora está correta? Verifique se você tem um servidor ntp configurado em ambos os lados, geralmente o gerenciamento de certificados requer o tempo correto.

  • O site realmente faz o download de alguma coisa?

  • Você pode ver os logs da CA do Windows para confirmar que o arquivo foi baixado? ou melhor ainda, carregue um sniffer (como wireshark) na CA do Windows e veja se você recebe alguma solicitação, em qual porta você recebe a solicitação e o que você responde de volta. Se você não conseguir nada, verifique o firewall, problemas de roteamento, acl, etc

Se você obtiver uma solicitação e responder bem com informações válidas, provavelmente será um problema de sonicwall.

Se tudo falhar, abra uma solicitação de serviço para o SonicWall, eles devem ajudá-lo a depurar o problema

    
por 15.07.2013 / 21:51

Tags