حفاظت از کانال های ارتباطی VMware View توسط گواهینامه های SSL
گواهینامه های Multiple-server name از بیشتر از یک SAN (Subject Alternative Name) برای هر یک گواهینامه تکی پشتیبانی میکنند . این نوع از گواهینامه نیز زمانی استفاده می شود که اگر SSL offloaders بین View clients و connection server قرار داده شود و یا هنگامی که یک اتصال تونل شده با Security server فعال شود.
یک گواهینامه wildcard ، گواهینامه ای است که برای تمام سرور های داخل دامین صادر میشود . FQDN داخل گواهینامه wildcard معمولا به این فرمت نوشته میشود *.organization.com. یک گواهینامه wildcard امنیت کمتری از گواهینامه SAN دارد ، اگر یک سرور یا ساب دامین در معرض خطر باشد ، کل محیط در معرض خطر است .
منبع : Faradsys.com
منبع : Faradsys.com
Event و Log مربوط به عیب یابی
در این بخش Event و Log هایی که برای عیب یابی مفید هستند را بررسی خواهیم کرد. همچنین سناریو هایی که گواهینامه دچار مشکل شده باشد ، نام کاربری مناسب نداشته باشند ، و یا کلید امنیتی گواهینامه ها قابلیت Exportable نداشته باشند.
فایل های log مربوط به Connection server در مسیر زیر هستند.
<Driveletter>:ProgramDataApplication DataVMwareVDMlogs
تنظیمات اشتباه و رایج
لاگ زیر نشان میدهد که private key تیک Exportable ندارند.
KeyVault CryptExportKey get size FAILED, error= (Key not valid for use in specified state.)
لاگ زیر نشان میدهد که URL خارجی با Common Name گواهینامه همخوانی ندارد .
Server’s certificate does not match the URL
اگر اسم سرور بخشی از secure gateway’s External URL با هیچ یک از اسم های subject در گواهینامه همخوان نباشد ، وضعیت سلامت گواهینامه بی اعتبار نشان داده میشود.
ATTR_SG_URL”,”type”:”STRING”,”stringValue”:”https://:443
گواهینامه های Self-Signed تنظیم شده در Connection Server / Security Server
“ATTR_SG_CERTDEFAULT”,”type”:”STRING”,”stringValue”:”true”
نشان میدهد secure gateway با یک گواهینامه self-signed امضاء شده است .
همچنین لاگ شمال موارد زیر هست :
ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”false” ATTR_SG_CERTINVALID_REASON”,”type”:”STRING”,”stringValue”:”NOT_TRUSTED”,
که نشان میدهد گواهینامه معتبر و مورد اعتماد نیست زیرا توسط trusted CA صادر نشده . در نتیجه ، ایونت “Certificate is invalid for Secure Gateway at address<netBIOS name>” در پنل مدیرتی به عنوان یک warning نمایش داده میشود.
گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server
“ATTR_SG_CERTDEFAULT”,”type”:”STRING”,”stringValue”:”false”
نشان میدهد secure gateway با یک گواهینامه self-signed امضاء شده است . لاگ همچنین شامل :
“ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”true”
که نشان میدهد گواهینامه تنظیم شده اعتبار دارد.
گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server منقضی شده
“ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”false”
نشان میدهد که گواهینامه تنظیم شده معتبر نیست .
“ATTR_SG_CERTINVALID_REASON”,”type”:”STRING”,”stringValue”:”EXPIRED”
نشان میدهد دلیل عدم اعتبار گواهینامه چیست . در این نمونه وضعیت گواهینامه منقضی شده . . در نتیجه ، ایونت “Certificate is invalid for Secure Gateway at address <netBIOS name>” در پنل مدیرتی به عنوان یک warning نمایش داده میشود.
گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server در حال منقضی شدن
تنها تفاوت این لاگ با لاگ قبل در این لاین است :
“ATTR_SG_CERTABOUTTOEXPIRE”,”type”:”STRING”,”stringValue”:”true”
نشان میدهد که گواهینامه تنظیم شده در حال منقضی شدن است . پنل مدیریتی VMware View اخطاری را مبنی بر اتمام اعتبار گواهینامه تنظیم شده در < n روز آینده > را نشان میدهد.
گواهینامه Trusted CA-Signed تنظیم شده در Connection Server / Security Server ، Revoked شده
“ATTR_SG_CERTVALID”,”type”:”STRING”,”stringValue”:”false”
نشان میدهد گواهینامه تنظیم شده نامعتبر است .
“ATTR_SG_CERTINVALID_REASON”,”type”:”STRING”,”stringValue”:”REVOKED”
علت عدم اعتبار گواهینامه را نشان میدهد . در این مورد گواهینامه Revoked شده . در نتیجه ایونت “Certificate is invalid for Secure Gateway at address <netBIOS name> ” در پنل مدیرتی به عنوان یک warning نمایش داده میشود
منبع : Faradsys.com