¿Cuál es el procedimiento de configuración adecuado para los certificados de túnel SSL?

1

Soy un integrador de sistemas que utiliza un sistema diseñado para llevar los datos HVAC a una interfaz común. Esta plataforma de sistema / software se llama Niagara AX. La combinación de la configuración de red del cliente y los requisitos para un proyecto han reunido el siguiente escenario:

  • Todos los sistemas que proporcionen dichos datos deben comunicarse al consumidor de dichos datos a través de un navegador web con HTTPS
  • Hay un servidor virtual centralizado que debe ser el punto de acceso a través del cual se accede a otros sistemas, y el acceso al subsistema debe ser a través de HTTPS
  • El cliente ha proporcionado una autoridad de certificación de Microsoft Active Directory y una herramienta de firma de certificados
  • Los certificados generados por los sistemas HVAC son firmados por la herramienta de firma del cliente y son aceptados por los sistemas HVAC y funcionan correctamente en los navegadores web para conexiones directas a todos los sistemas, incluido el servidor central y todos los subsistemas
  • La plataforma de software HVAC proporciona opciones integradas solo para el túnel HTTP y el uso de HTTPS

He logrado que mi sistema funcione correctamente en todos los puntos, excepto donde se debe acceder a los subsistemas a través del servidor centralizado. El acceso directo a HTTPS funciona correctamente en todas las instancias. Por lo que puedo ver, mi única opción dada la configuración y los requisitos del cliente es usar la tunelización HTTPS que utiliza una sintaxis especializada específica para este sistema HVAC (por ejemplo, enlace ). En este punto, suele suceder cualquier cantidad de cosas, incluidos los 404 con redireccionamiento silencioso a una página sin sentido, o la "espera de cent-server" que acaba por expirar.

Me han dicho que la solución implica "combinar" mis certificados SSL en un solo certificado grande y tener este certificado "común" en todos los sistemas involucrados. Mi pregunta es la siguiente: ¿cómo puedo lograr esto?

Permita que mis sistemas se etiqueten como C - servidor centralizado, A - subsistema A, B - subsistema B, R - autoridad certificadora raíz (altamente simplificada). El intento de combinar las partes del certificado firmado de los certificados A y B en el PEM público + privado para el certificado C y luego la importación en el administrador de certificados en C genera un error CertPathValidatorException que reclama "El certificado intermedio carece de restricciones básicas". No estoy seguro de qué otras opciones de combinación tengo disponibles cuando armo mi PEM, aunque sé que no tiene sentido simplemente insertar el lado público de los certs A y B en la sección donde este sistema espera la cadena de certificados. piezas para ser.

    
pregunta abiessu 21.08.2015 - 20:48
fuente

1 respuesta

0

De acuerdo con el soporte técnico para Niagara AX, "no se admite la tunelización HTTPS". Esto contradice lo que he escuchado de otras fuentes, por lo que aunque lo pondré como la respuesta "oficial" a mi pregunta, puedo actualizarlo si hay otra información disponible.

En otras palabras, el punto de mi pregunta, a saber, si ciertas configuraciones o formatos de archivo para los certificados HTTPS fueron necesarios para hacer posible este tipo de tunelización en este entorno de software / red, es discutible. Gracias a todos los que se tomaron el tiempo de leer y considerar mi pregunta.

    
respondido por el abiessu 25.08.2015 - 14:51
fuente

Lea otras preguntas en las etiquetas