Qual è la corretta procedura di configurazione per i certificati SSL Tunnel?

1

Sono un integratore di sistemi che utilizza un sistema progettato per portare i dati HVAC su un'interfaccia comune; questa piattaforma sistema / software si chiama Niagara AX. La combinazione della configurazione di rete del cliente e dei requisiti per un progetto ha riunito il seguente scenario:

  • Tutti i sistemi che forniscono tali dati devono comunicare al consumatore di tali dati tramite un browser Web con HTTPS
  • Esiste un server virtuale centralizzato che deve essere il punto di accesso attraverso il quale si accede ad altri sistemi e l'accesso al sottosistema deve avvenire tramite HTTPS
  • Il cliente ha fornito un'autorità di certificazione Microsoft Active Directory e uno strumento per la firma del certificato
  • I certificati generati dai sistemi HVAC sono firmati dallo strumento di firma del cliente e sono accettati dai sistemi HVAC e funzionano correttamente nei browser Web per le connessioni dirette a tutti i sistemi, incluso il server centrale e tutti i sottosistemi
  • La piattaforma software HVAC fornisce opzioni integrate solo per il tunneling HTTP e l'utilizzo di HTTPS

Sono riuscito a far funzionare correttamente il mio sistema su tutti i punti tranne dove è necessario accedere ai sottosistemi attraverso il server centralizzato. L'accesso diretto HTTPS funziona correttamente in tutte le istanze. Da quello che vedo, la mia unica opzione data l'impostazione e i requisiti del cliente è l'utilizzo del tunneling HTTPS che utilizza una sintassi specializzata specifica per questo sistema HVAC (ad esempio, collegamento ). A questo punto, di solito accade un numero qualsiasi di cose, inclusi 404 con reindirizzamento silenzioso a una pagina senza senso o "in attesa di cent-server" che alla fine scade.

Mi è stato detto che la correzione implica "combinare" i miei certificati SSL in un unico certificato di grandi dimensioni e avere questo certificato "comune" in atto su tutti i sistemi coinvolti. La mia domanda è questa: come posso realizzare questo?

Lascia che i miei sistemi siano etichettati come C - server centralizzato, A - sottosistema A, B - sottosistema B, R - autorità di certificazione radice (molto semplificato). Il tentativo di combinare le porzioni di certificati firmati dei certificati A e B nel PEM pubblico + privato per CERT C e quindi l'importazione nel gestore certificati in C genera un errore CertPathValidatorException che afferma "Il certificato intermedio è privo di BasicConstraints". Non sono sicuro di quali altre opzioni di combinazione sono disponibili quando inserisco il mio PEM insieme, anche se so che non ha senso inserire semplicemente il lato pubblico dei certificati A e B nella sezione in cui questo sistema si aspetta la catena di certificati pezzi da essere.

    
posta abiessu 21.08.2015 - 20:48
fonte

1 risposta

0

Secondo il supporto tecnico di Niagara AX, "HTTPS Tunneling non è supportato". Ciò contraddice ciò che ho ascoltato da altre fonti, quindi mentre metterò questa come risposta "ufficiale" alla mia domanda, potrei aggiornarla se saranno disponibili altre informazioni.

In altre parole, il punto della mia domanda, ovvero scoprire se alcune impostazioni o formati di file per i certificati HTTPS fossero necessari per rendere possibile questo tipo di tunneling all'interno di questo software / ambiente di rete, è discutibile. Grazie a tutti coloro che hanno avuto il tempo di leggere e prendere in considerazione la mia domanda.

    
risposta data 25.08.2015 - 14:51
fonte

Leggi altre domande sui tag