218 Membres 999 Contributions

Open Community

Discussions par mots clés : certificat

Résolue

problème VPN iphone

Posée par Thomas D dans Fonctionnalités et système

Bonjour à tous,

 

je suis nouveau ici ayant acquis récemment un Stormshield SN300.
Voilà, j'ai configuré un tunnel VPN afin que des utilisateurs à distances se connectent en IPSEC et aucun soucis avec certificat et IP fixe. Aucun soucis.

J'ai voulu depuis quelques jours ajouter une configuration pour les iphones, j'ai donc suivi le tuto de Netasq pour la config VPN iphone et là, c'est le drame. J'ai vraiment tout réalisé comme le tuto, à plusieurs reprises, et à chaque fois la même erreur lors de la connexion :

unable to get local issuer certificate.

J'ai pourtant créé un certificat racine, j'en ai créé un serveur pour le portail applicatif que j'ai signé avec mon CA créé...Bref, un casse tête.
Si quelqu'un aurait déjà config son iPhone/iPad en IPSEC...Merci :)

Résolue

Message: "Certificate refused: bad permissions"

Posée par brunoT dans Administration

Bonjour,


Je viens, pour faire des tests, de passer une très ancienne appliance (modèle S90) en 5.0.32, qui est la dernière version supportée par ces matériels. Elle était précédemment en 5.0.30.

Depuis l'upgrade, je ne peux plus me connecter via le Manager. A chaque tentative, j'ai droit à un popup: "La connexion SSL a rencontré un problème inconnu", et dans les logs de l'appliance (fichier /var/log/messages), j'ai un message: "Certificate refused: bad permissions"...

D'après la documentation, ce message serait dû à l'absence de permissions adéquates associées au certificat (ADMIN ou ADMIN-RW). Or, le certificat utilisé est celui que j'utilise depuis très longtemps, et il possède bien les droits adéquats.


Quelqu'un a-t-il déjà rencontré ce problème ?

Merci !

Bruno

Résolue

Certificate is not unique

Posée par Cana Conda dans Administration

Bonjour,

 

J'ai un problème d'installation de config sur mes arkoons à cause d'un certificat.

J'ai généré plusieurs certificat user pour des utilisateurs nomades. J'ai associé chaque P12 a un certificat, que j'ai associé à un utilisateur et que j'ai ajouté dans la communauté VPN.

Sur tous les certificats que jai généré, j'ai une erreur que je retrouve dans le /var/log/messages

May 4 10:51:06 fw-M1000 akslave[2658]: ERR-0000000001 <>
May 4 10:51:06 fw-M1000 akslave[2658]: * Error: certificate serial number for CN_2_CERT_USER_NOMADE.FR is not unique !
May 4 10:51:06 fw-M1000 akslave[2658]: 1 critical error(s) - aborting

Je pense avoir regardé partout, si je ne me suis pas trompé en créant un doublon.

Est ce qu'il peut avoir des problèmes à la création de certificat ? J'ai le problème avec un seul certificat sur la centaine que j'ai créée.

Pare-feu M1000 et S90
Version 5.0/32

Merci par avance de votre aide.

Résolue

Windows Update et FAST HTTPS

Posée par Pierre dans Administration

Bonjour,

 

Ce problème a existé par le passé (http://open.arkoon.net/aoc/probleme-fast-ca-microsoft-windows-2012-essential), il est impossible d'utiliser Windows Update (dans mon cas sur des serveurs 2008 R2). Les flux sont rejetés par le module FAST pour la raison suivante :

Non trusted server certificate (unable to get local issuer certificate while verifying CN=Microsoft Update Secure Server CA 2.1,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US)

Le serveur contacté a l'IP 191.232.80.60.

J'ai ce problème depuis environ 1 mois. J'ai mis à jour les appliances en 6.0/8 mais problème identique. Y-a-t-il une procédure pour forcer la mise à jour du CERT STORE de l'Arkoon ?

 

Merci.

Résolue

[RESOLU] Droit et certificat

Posée par Jonathan E. dans Fonctionnalités et système

Bonjour,

L'un de nos client nous a demandé d'avoir accès, via un certificat, à la supervision de leur boitier Arkoon. Boitier PS4 en version 6.0/6.

Nous avons donc créé une première fois le certificat en mode "USER", en mettant le role "AUDITOR" il y avait des erreurs SSL d'origine inconnu lors des tentatives de connexions. 
Nous avons donc recréé un certificat en mode "ADMINISTRATOR", en mettant le role "AUDITOR", là, plus d'erreur SSL par contre... 

...Par contre lorsque nous testons de nous y connecter via ce profil, tout en etant connecter en admin (notre accès d'origine) sa session lui propose de nous deconnecter ce qui n'est pas du tout envisageable.

 

J'ai donc testé tout les types de roles afin de vérifier si l'un d'eux pouvait ne pas nous deconnecter... et non! Tout les profils présent permettent de deconnecter le véritable administrateur.

 

Ainsi, je voulais vérifier avec vous si la version 6.0/6 le permet? 

Cordialement,

Résolue

tunnel IPSEC avec certificat

Posée par Olivier V dans Administration

Bonjour,

J'ai un problème a faire monter un tunnel IPSEC avec certificat entre 1 boitiers Netasq U450  et 2 boitiers clients ( 1 arkoon PSX-3 et un netasq U70)

Le Tunnel fonctionne très bien avec clés pré partagées, mais lorsque j'active le mode d'authentification ( pour le même tunnel IPSEC ) par certificat cela ne fonctionne plus.

Pour information la pki utilsé est celle du boitier ainsi que l'annuaire. Le profil IKE et IPSEC sont bien identique sur les 2 boitiers.

J'ai le message erreur suivant sur le boitier distant : No Valid ISAKMP-SA en phase 1 , coté boiter maitre j'ai un time out lors de la négociation.

J'ai vérifié par rapport à la doc Netasq qui propose un doc pour la création de tunnel IPSEC par certificat mais rien n'y fait.

Auriez vous une idée sur ce type de problème ?

 

 

Résolue

Skype via le proxy http

Posée par Atchoum dans Fonctionnalités et système

Bonjour,

Sur une appliance FASt 360 en version 6.1, comment autoriser Skype à travers le relais http ?

L'article KB 1327 ne m'aide pas trop, car surcharger les règles du relais pour désactiver l'analyse FAST http/https ne semble faisable que globalement, c'est-à-dire pour tous les clients et tous les serveurs web, ce qui n'est pas trop sécurisé.

En effet, le nombre d'adresses IP publiques de destination pour les flux Skype est tellement important, qu'il est illusoire de les identifier pour restreindre les règles du relais à surcharger; de même, il n'est pas question d'autoriser des utilisateurs à surfer sur Internet via le proxy, sans aucun contrôle applicatif sur les protocoles http ou https.

J'avais cru comprendre que la V6.1 permettrait d'identifier des flux Skype ou Facebook ?

Merci pour votre aide,

===================================================

Le Contexte :

En principe, les utilisateurs surfent sur le web à travers le relais http, mais cela est...

Voir la suite
Résolue

Import certificat for Akauth

Posée par Reso dans Securité

 

Bonjour à tous,

 

Nous venons de renouveler la CA de notre cluster de firewall et celle-ci a été signée par un serveur externe.

Ce serveur nous a bien fourni deux fichiers ***.pem et un ***.der que nous avons utilisé par la suite pour générer un fichier en ***.p12 au sein des deux firewall.

Ce ***.p12 nous l' avons ensuite importé au sein de minarkconf pour la certification Akauth.

La procédure d' importation des certificats s' est bien passé cependant lors du test de connexion par le client Akauth nous avons le message suivant :

"Certificate refused: bad permissions"

PS : Nous utilisons une authentification login/mot de passe avec le client Akauth.

 

 

Ainsi voici mes questions :

Le client akauth utilise un fichier .pem pour pouvoir se connecter à l' appliance, comment obtient-on ce fichier ?

1-) Est-ce l' utilisation de l' ancien fichier .pem (avant changement de la CA)

2-) Est-ce  l ' importation de la CA depuis Arkoon Manager en format .pem ?

3-)...

Voir la suite
Résolue

Mise à jour CRL

Posée par Stanaure

Bonjour,

Je n'ai pas dans l'outil minarkconf/Certificates/Update Certificate Revocation List (CRL).

Est-il possible de le faire en ligne de commande ?

Merci d'avance.

Cordialement

Messages d'alerte