Emitir certificado para o endereço IP no AD CS

1

Estamos tentando fazer com que um Sophos XG 210 se conecte por meio de LDAPS a um servidor AD DS (Serviços de Domínio Active Directory) / DC (Domain Controller, DC), mas isso falha com os dois erros a seguir:

Device - AD server connectivity test failed

Connectivity to AD server %privateIPAddress% failed with error hostname does not match CN in peer certificate

Entrei em contato com a Sophos e seu suporte técnico sênior:

  1. Verificou a configuração do certificado (o certificado de CA raiz do AD CS instalado no certificado do servidor Sophos XG 210 e do DC instalado em si).
  2. Informamos que o SFOS 16 (não o SFOS 15) só pode se conectar a um servidor DC via endereço IP, então teremos que usar um certificado baseado em endereço IP, em vez de um certificado padrão baseado em nome.
  3. Informamos que a capacidade do SFOS 16 de se conectar a um servidor DC por nome está sendo tratada como uma solicitação de recurso por sua equipe de desenvolvimento e, portanto, não possui ETA.

Como podemos fazer com que o AD CS emita um certificado para um endereço IP?

Atualização 2017/08/23 17:58:

Eu tenho:

  1. Ler:
    1a. Suporte da Microsoft artigo Como adicionar um nome alternativo de assunto a um certificado LDAP seguro
    1b. Artigo do TechNet da Microsoft Como solicitar um certificado com um nome alternativo de assunto personalizado
    1c. Blog da Microsoft Como solicitar um certificado sem usar o IIS ou o Exchange
  2. Arquivo criado RequestPolicy.inf com o seguinte conteúdo:

[Version]
Signature="$Windows NT$"

[NewRequest]
Subject = "CN=%DC_Server_FQDN%"

Exportable = FALSE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"

RequestType = PKCS10

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

[Extensions]
2.5.29.17 = "{text}"
_continue_ = "ipaddress=%DC_Server_IP_Address%&"

[RequestAttributes]
CertificateTemplate = WebServer

  1. Comandos elevados executados:
    3a. certreq -new "%Path%\RequestPolicy.inf" "%Path%\certnew.req"
    3b. certreq -submit "%Path%\certnew.req" "%Path%\certnew.cer"
    3c. certreq -retrieve %Request_ID% "%Path%\certnew.cer"
    3d. certreq -accept "%Path%\certnew.cer"
  2. Descobriu que o certificado emitido pelo CA do AD CS foi instalado e:
    4a. Seu campo Subject Alternative Name incluiu IP Address=%DC_Server_IP_Address%
    4b. Seu campo Certificate Template Name foi WebServer , mas acho que precisa ser DomainController
  3. Arquivo reconfigurado RequestPolicy.inf substituindo a linha CertificateTemplate = WebServer pela linha CertificateTemplate = DomainController
  4. Executou novos comandos elevados de certreq que falharam com o seguinte erro:

Active Directory Enrollment Policy
{%GUID%}
ldap:
RequestId: %Request_ID%
RequestId: "%Request_ID%"
Certificate not issued (Denied) Denied by Policy Module The DNS name is unavailable and cannot be added to the Subject Alternate name. 0x8009480f (-2146875377) Certificate Request Processor: The DNS name is unavailable and cannot be added t o the Subject Alternate name. 0x8009480f (-2146875377)
Denied by Policy Module

  1. Usada autoridade de certificação para reconfigurar o modelo de certificado Domain Controller Authentication alterando Subject Name de Build from this Active Directory information para Supply in the request .

Eu não consegui passar pelos erros relacionados ao modelo do controlador de domínio.

Atualização 2017/08/25 09:10:

Eu tenho:

  1. No servidor do AD CS, o modelo duplicado Domain Controller como modelo Domain Controller 2 com Subject Name foi alterado de Build from this Active Directory information para Supply in the request .
  2. No servidor DC, executou novos comandos elevados certreq que falharam com os seguintes erros:

Template not found. Do you wish to continue anyway?
DomainController2

Certificate not issued (Denied) Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Ce rtificate Services policy: DomainController2/DomainController2.

The requested certificate template is not supported by this CA. 0x80094800 (-21 46875392)

Certificate Request Processor: The requested certificate template is not supported by this CA. 0x80094800 (-2146875392)

Denied by Policy Module 0x80094800, The request was for a certificate template that is not supported by the Active Directory Certificate Services policy: Domai nController2/DomainController2.

  1. No servidor do AD CS, verifiquei se as ACLs do modelo Domain Controller 2 incluíam a permissão de leitura para usuários autenticados.

Atualização 2017/12/04:

O firmware Sophos XG 17.0+ suporta o "recurso" de conectar LDAPS via DNS, em vez de endereço IP, portanto, não preciso mais fazer isso, mas deixarei essa questão em aberto, pois ainda existe.

    
por mythofechelon 22.08.2017 / 14:53

0 respostas