Пинг не работает для внутренних интерфейсов

Question

Пинг не работает для внутренних интерфейсов

У меня есть шлюз CentOS 7, который не получает ответа на эхо-запросы на своем внутреннем интерфейсе, когда интерфейс указан, что заставляет меня думать, что это проблема, но также не может ping НИЧЕГО во внутренней сети, пока ping работает.

ping 10.20.1.7 -I enp0s25
PING 10.20.1.7 (10.20.1.7) from 10.20.1.7 enp0s25: 56(84) bytes of data.
^C
--- 10.20.1.7 ping statistics ---
52 packets transmitted, 0 received, 100% packet loss, time 50999ms

он работает без указания интерфейса

ping 10.20.1.7
PING 10.20.1.7 (10.20.1.7) 56(84) bytes of data.
64 bytes from 10.20.1.7: icmp_seq=1 ttl=64 time=0.052 ms
64 bytes from 10.20.1.7: icmp_seq=2 ttl=64 time=0.029 ms
^C
--- 10.20.1.7 ping statistics ---
2 packets transmitted, 2 received, 0% packet loss, time 999ms
rtt min/avg/max/mdev = 0.029/0.040/0.052/0.013 ms

или интерфейса по ip (спасибо @Gerard H.

Для наших внутренних тестов мне нужно настроить взаимную проверку подлинности SSL между нашим сервером IIS (на нем размещены два приложения: веб-интерфейс ASP.NET и веб-служба) и клиентами (доступ к серверу двумя возможными способами: веб-интерфейс с браузер и веб-сервис с клиентом, созданным с помощью WinForms). Когда тесты будут завершены и результаты оценены, мне нужно будет дать несколько указаний нашему клиенту, как установить и настроить его в своей среде - закрытой корпоративной среде, доступной по непубличным URL-адресам через VPN.

Я хорошо знаком с PKI, ключами и сертификатами в целом, просто у меня нет большого опыта работы с PKI в контексте HTTPS. С помощью некоторых доступных инструментов, в основном XCA, мне удалось создать свой корневой сертификат CA, сертификат сервера и несколько клиентских сертификатов; Я установил их в IIS и в клиентских магазинах, и все работает довольно гладко, но есть некоторые проблемы и вопросы:

Какие (расширенные) значения использования ключей требуются для сертификата сервера? В моем тестовом сертификате я получил цифровую подпись , безотказание , шифрование ключа и расширенную аутентификацию веб-сервера TLS - мне что-то не хватает ? Все ли они необходимы?
Тот же вопрос о клиентских сертификатах: какие ключи используются? Мои тестовые сертификаты имеют цифровую подпись , шифрование ключа , Шифрование данных и расширенная Аутентификация веб-клиента TLS - мне что-то не хватает? Все это требуется?
Существуют ли какие-либо другие специальные функции, которые должен иметь сертификат клиента?
Сертификат сервера должен иметь свое имя, указанное в списке SAN в качестве записи DNS (или IP, если доступ осуществляется по IP-адресу , право?). Но как насчет поля CN объекта его отличительного имени? должен ли он иметь какую-то конкретную форму? Должно быть пусто? Могут ли непубличные адреса, такие как, например, mytestenv.mycompany.lan , использоваться в качестве SAN? В настоящее время в моем сертификате тестового сервера у меня есть только набор Subject CN и нет записи SAN DNS, и я считаю, что мне нужно ее добавить, Я прав?
Есть ли какие-либо шаги (кроме добавления сертификата ЦС в доверенные ЦС в браузере или магазине Windows), которые я должен предпринять, чтобы предотвратить отображение браузерами полностраничных предупреждений безопасности о том, что сайт небезопасен? Я думаю, что могу жить без «зеленого замка» или с каким-то предупреждением в адресной строке или чем-то еще, но, например, Chrome отображает ошибку безопасности полной страницы и не отображает веб-страницу, пока я не настрою исключение безопасности для сервера. Как я могу это предотвратить? Может быть причиной отсутствия SAN? IE и Firefox отображают страницу.
Могут ли такие вещи, как DV / OV / EV, прозрачность сертификата, входящий HTTPS-апокалипсис для браузеров, или, может быть, что-то еще, влияют на мою (и, возможно, клиентскую) настройку каким-либо образом? Нужно ли мне уделять им особое внимание?

Если возможно, меня заинтересуют оба общих замечания, и в требованиях конкретных серверов (особенно IIS) и браузеров (в инфраструктуре заказчика это будут в основном IE 11+ и Edge).

2

iis ssl-certificate https internet-explorer ssl-certificate-errors

задан Maciek 11 May 2018 в 15:12

Ссылка

1 ответ


         
              



      
        Теги
        
         iis ssl-certificate https internet-explorer ssl-certificate-errors       

        Похожие вопросы
        
          
                          511 
 В Nginx, как я могу переписать все запросы HTTP к https при поддержании субдомена? - 21 September 2009 17:04 
                            248 
 Это плохо для перенаправления http к https? - 24 February 2016 08:26 
                            200 
 Отображение удаленного сертификата SSL детализирует инструменты CLI использования - 24 January 2015 00:13 
                            197 
 nginx HTTPS, служащий с той же конфигурацией как HTTP - 21 May 2009 19:18 
                            187 
 как загрузить сертификат SSL с веб-сайта? - 11 February 2014 07:46 
                            142 
  Есть ли причина для использования сертификата SSL, кроме бесплатного SSL от Let's Encrypt?  - 18 August 2018 12:29 
                            115 
 Как я смотрю детали цифрового сертификата .cer файл? - 19 January 2017 20:50 
                            115 
 Местоположение сертификата SSL на UNIX/Linux - 4 September 2009 18:57 
                            104 
 Как просмотреть все сертификаты SSL в пакете? - 25 April 2014 08:59 
                            97 
 Как я могу сказать, какая версия IIS установлена? - 27 March 2014 20:53 
                            86 
 Рекомендуемый LogParser запрашивает для контроля IIS? - 13 April 2017 15:14 
                            85 
 Действительно ли возможно генерировать ключ RSA без пароля? - 5 March 2012 08:28 
                            83 
 Что я должен сделать, чтобы удостовериться, что IIS не перерабатывает мое приложение? - 23 November 2011 01:29 
                            83 
 Подстановочный сертификат SSL должен защитить обоих корневой домен, а также субдомены? - 12 September 2011 19:12 
                            81 
 Может IIS быть настроить для передачи запроса к другому веб-серверу? - 29 July 2009 16:14

score 1 · Accepted Answer · 3 December 2019 в 12:32

Я использую mutt для отправки вывода cron в виде HTML

... <команда cron> | mutt -e 'set content_type = text / html' -s "Тема" (скрытый) -b (скрытый)

`Использование ключа`



 Для TLS вам потребуется шифрование ключа и цифровая подпись, а также соответствующий веб-сервер TLS /  Расширенное использование клиентской аутентификации.  Non Repudation не используется.  Ключевое соглашение теоретически может использоваться для ECDH, а не для ECDHE.  См.  https://security.stackexchange.com/a/24107 

 Прозрачность сертификатов. 

 Google продвигает это своим значительным влиянием.  Одна важная вещь, которую следует учитывать при отправке сертификатов в журналы прозрачности, заключается в том, что они фактически являются публикацией доменных имен (или подстановочных знаков).  Я заметил запросы к веб-серверу сразу после получения сертификата letsencrypt, и теоретически это может быть даже до того, как ваш сертификат ssl будет фактически установлен, потому что журнал прозрачности имеет предварительную публикацию. 

 См .:  Блог Скотта Хельма 

 Апрельское обновление Chrome: 

 От:  https://groups.google.com/a/chromium.org/forum/#!topic/ct-policy/wHILiYf31DE 

 С января 2015 года в Chrome  требовалось, чтобы сертификаты расширенной проверки (EV) были CT-совместимыми, чтобы получить статус EV.  В апреле 2018 года это требование будет распространено на все недавно выпущенные общедоступные доверенные сертификаты - DV, OV и EV - и сертификаты, не соответствующие этой политике, не будут признаны доверенными при оценке Chrome.  Сертификаты, выпущенные локально доверенными или корпоративными центрами сертификации, которые добавляются пользователями или администраторами, не подпадают под это требование. 

 SAN с локальными именами 

 Нет известных мне проблем.  Хотя .local - особенно неприятный TLD, потому что он используется с многоадресной DNS. 

 Другие требования 

 Для любой зрелой системы необходимы серверы CRL и OCSP.  Некоторые подпроцессы могут быть даже более требовательными, чем сам браузер.  Возьмем, к примеру, плагин Java в IE11.  Если веб-приложение или апплет имеет недоступный сервер CRL или OCSP в иерархии, фрейм браузера может оставаться полностью пустым в течение нескольких минут.  Также, если веб-сервер Apache использует сшивание OCSP,тогда серверу OCSP лучше отвечать, когда сам веб-сервер вызывает, иначе, к сожалению, с Apache все клиенты будут отображать ошибки, пока сервер снова не скрепит ответы. 

 Authority Key ID.  Используйте эту функцию, чтобы сделать возможным восстановление после отзыва промежуточных сертификатов по ошибке или из-за компрометации. 

 Записи CAA.  Общедоступные центры сертификации обязаны проверять это при выдаче сертификатов.  См.  https://scotthelme.co.uk/certificate-authority-authorization/ 

 Дополнительные ссылки: 


 https://www.ietf.org/rfc/rfc5280.txt 
 https: /  /developer.mozilla.org/en-US/docs/Mozilla/Security/x509_Certificates
 http://www.zytrax.com/tech/survival/ssl.html