Certificados en otra subred, puertos

loureed4 · #1 (**permalink**) 10/06/2011, 06:46

Buenas tardes,

Me gustaría hacer una pregunta:

Tengo una DMZ donde están mis controladores de dominio, Exchange, etc.

Por otra parte tengo una LAN, donde están todos los clientes.

En medio de DMZ y LAN, un ISA Server.

Entre el ISA Server y la LAN un Pc con un software Proxy para controlar salidas a internet de mis clientes LAN.

Todo funciona perfectamente, excepto esto:

Tegno creada una plantilla del certificado Usuario, una plantilla duplicada , y en la que la gente puede inscribirse automáticamente, osea, cuando el usuario inicia sesión es emitido un certificado de usuario que puedo ver en el almacén personal. No es ningún problema en la DMZ porque allí reside mi C.A con la PKI, el problema surge cuando el usuario se loga en una estación que está detrás del ISA y el Proxy según el escenario que puesto arriba.

Me gustaría incidir en que si el usuario se loga en una máquina de la DMZ donde residen como digo el servidor que hace de C.A o Entidad emisora de certificados, no hay problema, los certificados se emiten perfectamente.

No sé si en ISA o en el software Proxy debo dejar pasar un protocolo especial , esto es lo que pienso pero no sé que protocolo podría ser.

Todo esto es porque quiero que mis clientes LAN tengan S/MIME en OWA, osea, en https://mail.midominio.es/exchange y firmen y encripten sus emails a una compañía con la que tenemos relación estrecha y los emails han de ir firmados y encriptados.

Gracias de antemano !

moeb · #2 (**permalink**) 13/06/2011, 09:49

El unico puerto necesario para acceder por https es el 443 (por defecto).

Verifica qeu lo tienes abireto y asegurate de que tus politicas de seguridad permiten usar certificados para subredes diferentes a la de la CA.

loureed4 · #3 (**permalink**) 14/06/2011, 00:41

Hola Moeb,

Gracias por tu tiempo.

Por https llego perfectamente desde la LAN a la DMZ, de hecho los clientes se logan perfectamente en los controladores de dominio de la DMZ porque permito en ISA Kerberos, LDAP, y otros necesarios según documentación Microsoft.

El problema es otro, el de la emsión de certificados de mi C.A a las red LAN. La C.A emite los certificados automáticamente a los usuarios logados en la DMZ, porque es donde está la C.A , pero al atravesar el ISA, es donde se encuentra el problema, yo sé que tengo que permitir un tráfico, pero se se que puertos son, esta era la pregunta.

Muchas gracias de nuevo !

moeb · #4 (**permalink**) 14/06/2011, 02:50

Asegurate de haber dado todos los pasos correctos...

No acabo de entender en que punto te quedas (¿a la hora de asignar automáticamente los certificados a los clientes? ¿Estando estos logeados en el dominio?... ¿A la hora de usar esos certificados y validarlos contra la CA?... No me queda claro)...

En cualquier caso echa un ojo a este artículo (en realidad son 3). Igual encuentras algo que te interese:

http://www.isaserver.org/tutorials/p...004-part1.html