Безопасное подключение в локальной сети

Волонтерская поддержка приложения Bimoid Server (Windows). Общаемся по проблемам, ошибкам, делимся опытом их решения. Не забываем указывать версию серверной части.
Ответить
alex
Сообщения: 18
Зарегистрирован: Вт мар 29, 2022 2:20 pm

Безопасное подключение в локальной сети

Сообщение alex »

Собственно, у кого есть опыт такого - как заводили?
Имеется сервер (2.0) и клиент актуальных версий на одной и той же машине. Задача — поднять безопасное подключение (на порту 7033).
Сертификат и ключ сгенерировал, положил в BimoidSrv/ObimpSsl/Certif и прописал в certif.ini, включил безопасное подключение на сервере.
Службу сервера перезапустил — коннекта нет.
Сильно мешает то, что ни на клиенте, ни на сервере нет подробных логов подключения — неочевидно, что именно идет не так. Понятно, что проблема, видимо, в самопальном сертификате.
inf
Site Admin
Сообщения: 158
Зарегистрирован: Ср мар 16, 2022 4:04 pm

Re: Безопасное подключение в локальной сети

Сообщение inf »

Также надо открыть порт 7033 для входящих подключений, тут вот есть про это.
Когда клиенту ничего не мешает подключиться к указанному порту, то все ошибки с сертификатом отображаются в UI на этапе подключения.
alex
Сообщения: 18
Зарегистрирован: Вт мар 29, 2022 2:20 pm

Re: Безопасное подключение в локальной сети

Сообщение alex »

Поднялось. По итогу:
  • Common Name (CN) в сертификате должен соответствовать имени компьютера, что понятно;
  • Сертификат должен быть не самоподписанным, то есть корневой сертификат должен быть отдельный;
  • Мало добавить корневой сертификат в доверенные в системе, его нужно прописать в More/Ssl/TrustedCA/TrustedCA.pem на клиенте, чтобы он уж совсем не ругался.
И всё работает as expected.
alex
Сообщения: 18
Зарегистрирован: Вт мар 29, 2022 2:20 pm

Re: Безопасное подключение в локальной сети

Сообщение alex »

Интересный момент, сервер использует протокол TLSv1, который уже устарел и не поддерживается платформами, также как и TLSv1.1.
Сегодня актуален хотя бы TLSv1.2.
inf
Site Admin
Сообщения: 158
Зарегистрирован: Ср мар 16, 2022 4:04 pm

Re: Безопасное подключение в локальной сети

Сообщение inf »

tls 1.1 объявлен устаревшим в прошлом году, а дистрибутив сервера будет сильно постарше. Очевидно, что сам он не обновится со временем)
alex
Сообщения: 18
Зарегистрирован: Вт мар 29, 2022 2:20 pm

Re: Безопасное подключение в локальной сети

Сообщение alex »

Ну формально TLS 1 и 1.1 объявлены устаревшими в 2020 году, да. Тем не менее, TLS 1.2 существует с 2008 года.
Фактически же, например, в Java платформе они объявлены устаревшими в 2014 году, а с 2018 отключены по умолчанию. Собственно, аналогичная ситуация и в Android. Потому пока гуглю и размышляю, как поизящней обойти ограничения или уже отказаться от безопасного подключения для текущей версии сервера)
Ответить