dolezel.net

Co není v hlavě, je v blogu...

IIS a SHA256 certifikát

Vypršel mi StartSSL certifikát, tak jsem si před obnovou řekl, že už je na čase obměnit SHA1 za SHA256. No jo, jenže IIS Manager ve Windows Serveru 2012 R2 vyrobí CSR automaticky jen s SHA1. Tak dobrá, nahodím mmc.exe, přidám si Certificates snap-in a holt ten požadavek vyrobím ručně. V tu chvíli jsem netušil, jakou zábavu jsem si připravil pro pár hodin v průběhu několika dalších dní.

Úvodem jsem dal Request New Certificate…. Špatně, správně je nutné zvolit Advanced Operations a následně Create Custom Request… Více...

W2003 DC a dva prima hotfixy

Dnešní den jsem plánoval něco zcela jiného. Nakonec to dopadlo tak, že jsem se celý den snažil pochopit, co se to proboha stalo ve dvou různých firmách, ve kterých se v noci nainstalovaly na servery hotfixy. A od rána prudí uživatelé, že se nemůžou přihlásit přes RDP na server, že se jim Outlook nedokáže přihlásit k Exchange 2003 či Exchange 2010, ale přitom přes OWA vše jde. A nefunkční jsou i Outlooky na MAC OS X. Teď, po dvanácti hodinách, už samozřejmě vidím souvislost, ale ráno ani omylem. Takže co se to vlastně stalo? Více...

Přenos konfigurace VPN spojení

Jednou z nejhorších věcí je reinstalovat/migrovat cizí počítač v neznámém prostředí. Netušíte, co tam kdo proč zašmoulil, uživatel si to většinou ihned po reinstalaci vše nezkontroluje a ozve se po dlouhých dnech/týdnech, kdy si už vůbec nic nepamatujete.

Níže uvedené sice nepřenese uživatelské heslo, ale pouze konfiguraci VPN, což samo o sobě hodně pomůže. Jsou dvě lokality, kde je definiční soubor uložen – první je určena pouze pro VPN, které uživatel nenasdílel ostatním. No a ta druhá lokalita obsahuje sdílené VPN. Více...

UniFi controller jako služba

Všiml jsem si, že Guest wifi nepřesměrovává uživatele na portálovou stránku, na které by měl zadat heslo. Pak jsem zjistil, že jsem patchoval server, na kterém je nainstalován UniFi controller – no a že jsem se na tom serveru po restartu nepřihlásil a nespustil obslužný program. Je to hodně nepraktické, proto jsem začal hledat, jak to vyřešit.

Cesty jsou minimálně dvě – buď navázat start UniFi programu na Task Scheduler nebo spouštět UniFi jako windows službu. Přiklonil jsem se k druhému řešení. Na serveru jsem měl nainstalovanou Java 8 x64, spouštění UniFi on-demand šlapalo bez problémů. Java 8 (zdá se) již má vyřešenu cestu ke spustitelným souborům pomocí symlinků v adresáři C:\ProgramData\Oracle\Java\javapath, přičemž tento adresář je uveden v PATH. Takže jsem si z tohoto návodu vzal jen kousek. Více...

SATA kabely

Přiznávám, že jsem nevěděl, jestli je rozdíl mezi SATA II (3 Gbps) a SATA III (6 Gbps) kabely. Nerad bych nějak brzdil SSD disky. Takže rychlá rešerše na Internetu – rozdíl není, pokud je člověk soudný a nepoužije “jetý” kabel.

http://www.pugetsystems.com/labs/articles/SATA-cables-Is-there-a-difference-97/

Certifikát webového serveru hezky pěkně manuálně

Předpoklady:

CA akceptuje SAN CSR.
Chci mít certifikát s možností exportu privátního klíče.

Postup:

Stáhnu si přílohu ssl.inf a doplním/změním požadované parametry.

Vytvořím CSR soubor
certreq -new ssl.inf ssl.req

CSR můžu zkontrolovat pomocí
certutil ssl.req

Pokud je CA dostupná přes RPC, můžu následující příkaz spustit rovnou tam, kde jsem vytvářel CSR. Jinak musím soubor na CA nejdříve překopírovat.

certreq -submit ssl.req
nebo
certreq -attrib “CertificateTemplate:webserver” -submit ssl.req

Druhou variantu je nutné použít např. v případě, kdy bych chtěl takto vydat certifikát na základě CSR vytvořeného v průvodci Exchange 2010 (a možná i 2013).

Předposledním krokem je instalace vydaného certifikátu, čímž dojde k propojení s privátním klíčem
certreq -accept ssl.cer

Posledním krokem je export certifikátu ve formátu PFX a uložení na bezpečné místo. Nejdříve si certifikát vypíšu.
certutil -store My

Musím si poznamenat sériové číslo certifikátu a následně jej vyexportovat
certutil -exportPFX -p "Password" My 610df5bb000000000002 exportovany_certifikat.pfx

Zdroje:

http://blogs.technet.com/b/pki/archive/2009/08/05/how-to-create-a-web-server-ssl-certificate-manually.aspx
http://certificate.fyicenter.com/685_Microsoft_CertUtil_Microsoft_certutil_-user_Certificate_St.html
http://blogs.technet.com/b/yuridiogenes/archive/2011/04/20/exporting-certificates-using-certutil.aspx

ssl.inf (1,4KB)

Špek s VPN

Tohle si musím napsat. Přišel jsem k SBS 2011, který byl nainstalován někým jiným. Je vidět, že na to několik let nebylo pořádně sáhnuto (Exchange 2010 SP1 atd.). Chci rozjet SSTP VPN. Pamatuji si, že jsem se SBS a SSTP dříve bojoval, jeden článek mám tady, další tady. Pořád nic. Hlásí mi to chybovou hlášku, kterou jsem nikdy předtím neviděl.

vpn_no_sstp_connection

Pro klid duše jsem si ověřil navázání VPN i z Windows 7, stejná chyba. Více...

Android a VPN

Před pár týdny jsem si pohrával s myšlenkou nasadit SoftEther. Nakonec z toho sešlo, protože je to sice zajímavý, leč nehotový produkt. Nicméně v souvislosti s tímto testováním jsem narazil na zajímavou hlášku, když jsem testoval L2TP/IPSec – a došlo mi, že v létě se mi ozval kolega ze Švédska, který se marně snažil připojit své zařízení ke korporátní VPN. Teď bych se vsadil, že to bylo kvůli tomuto – náš pre-shared key je totiž delší než 10 znaků.

android_l2tp_vpn_problem

Takže pokud se z Android zařízení nemůžete připojit k L2TP/IPSec VPN, může to být jednak nekompatibilitou s NAT-T, jednak příliš dlouhým PSK.

Peklo se slabými certifikáty

Současné šílenství se zabezpečováním SSL komunikace má nepříjemné efekty. Třeba teď jsem se po půl roce dostal opět ke konfiguraci prehistorického Linksys WRP400. Firmware pro něj nebyl vydaný už dva roky (a počítám, že už nikdy nebude). Zabudovaný certifikát používá délku klíče menší než 1024 bitů, takže IE s ním nekamarádí už dlouho. Od té doby jsem na konfiguraci používal Firefox. Jenže i ten přešel od verze 33 na nějakou jinou, restriktivnější knihovnu a standardně už také nedovolí připojení k webovému serveru se slabým certifikátem. Nakonec jsem dle této stránky ve FF hrábnul do about:config konfigurace a dočasně nastavil:

security.tls.version.fallback-limit z 1 na 0
security.tls.version.min z 1 na 0

ff_weak_https

Jelikož nebudu čekat, až ani tohle nepůjde, tak jsem “vylepšil” zabezpečení routeru tím, že jsem vypnul HTTPS a nahodil HTTP. Tomu říkám pokrok. Ještě že aspoň jde zakázat přístup ke konfiguraci routeru přes WLAN a vynutit si pouze “drátové” připojení k administraci.

Windows 8.1 a wifi

Windows 8 mne vytáčejí snad ještě víc než svého času Visty. Nechápu, jak něco tak nehotového mohl Microsoft (opět) vypustit do světa. Ale používat to musím, protože není nic horšího, než když člověk dorazí někam k zákazníkovi, ten začne držkovat, že mu něco nešlape – a má W8. To je pak špatné.

Jedna z nejhorších věcí, která mne mučí, je padající wifi spojení. Signál mám výborný, ovladač aktuální. Ale chcípe to. Našel jsem tuhle stránku, akorát jsem aplikoval opravu č. 1. Tak uvidíme po restartu. Zajímavé to bude, až nezabere ani možnost 5.

Aktualizace 28.12.:

Prošel jsem si všemi pěti body, nic nezabralo. Pak jsem nějakou šťastnou náhodou našel tuto stránku. Stejně jako uživatel drgreghall jsem nainstaloval nejstarší nalezenou verzi ovladače (s odškrtnutým “Show compatible hardware”) Broadcom 802.11n 5.100.245.200 (ze dne 14. 3. 2012). Je to k neuvěření, ale od té doby wifi funguje spolehlivě, nepadá. Čert vem Windows 8 co nejdříve do propadliště dějin, za Vistou.