Estamos tentando fazer com que um Sophos XG 210 se conecte por meio de LDAPS a um servidor AD DS (Serviços de Domínio Active Directory) / DC (Domain Controller, DC), mas isso falha com os dois erros a seguir:
Device - AD server connectivity test failed
Connectivity to AD server %privateIPAddress% failed with error hostname does not match CN in peer certificate
Entrei em contato com a Sophos e seu suporte técnico sênior:
Como podemos fazer com que o AD CS emita um certificado para um endereço IP?
Atualização 2017/08/23 17:58:
Eu tenho:
RequestPolicy.inf
com o seguinte conteúdo: [Version]
Signature="$Windows NT$"[NewRequest]
Subject = "CN=%DC_Server_FQDN%"Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"RequestType = PKCS10
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1[Extensions]
2.5.29.17 = "{text}"
_continue_ = "ipaddress=%DC_Server_IP_Address%&"[RequestAttributes]
CertificateTemplate = WebServer
certreq -new "%Path%\RequestPolicy.inf" "%Path%\certnew.req"
certreq -submit "%Path%\certnew.req" "%Path%\certnew.cer"
certreq -retrieve %Request_ID% "%Path%\certnew.cer"
certreq -accept "%Path%\certnew.cer"
Subject Alternative Name
incluiu IP Address=%DC_Server_IP_Address%
Certificate Template Name
foi WebServer
, mas acho que precisa ser DomainController
RequestPolicy.inf
substituindo a linha CertificateTemplate = WebServer
pela linha CertificateTemplate = DomainController
certreq
que falharam com o seguinte erro: Active Directory Enrollment Policy
{%GUID%}
ldap:
RequestId: %Request_ID%
RequestId: "%Request_ID%"
Certificate not issued (Denied) Denied by Policy Module The DNS name is unavailable and cannot be added to the Subject Alternate name. 0x8009480f (-2146875377) Certificate Request Processor: The DNS name is unavailable and cannot be added t o the Subject Alternate name. 0x8009480f (-2146875377)
Denied by Policy Module
Domain Controller Authentication
alterando Subject Name
de Build from this Active Directory information
para Supply in the request
. Eu não consegui passar pelos erros relacionados ao modelo do controlador de domínio.
Atualização 2017/08/25 09:10:
Eu tenho:
Domain Controller
como modelo Domain Controller 2
com Subject Name
foi alterado de Build from this Active Directory information
para Supply in the request
. certreq
que falharam com os seguintes erros: Template not found. Do you wish to continue anyway?
DomainController2Certificate not issued (Denied) Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Ce rtificate Services policy: DomainController2/DomainController2.
The requested certificate template is not supported by this CA. 0x80094800 (-21 46875392)
Certificate Request Processor: The requested certificate template is not supported by this CA. 0x80094800 (-2146875392)
Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services policy: Domai nController2/DomainController2.
Domain Controller 2
incluíam a permissão de leitura para usuários autenticados.
Atualização 2017/12/04:
O firmware Sophos XG 17.0+ suporta o "recurso" de conectar LDAPS via DNS, em vez de endereço IP, portanto, não preciso mais fazer isso, mas deixarei essa questão em aberto, pois ainda existe.