Сертификаты SSL на web сервер. #809920

Люди практикующие или знающие ssl, подскажите пожалуйста, я недопонимаю эту тему, т.к. практически никогда с ней не сталкивался. Сам я 1С ник, и хочу организовать безопасный доступ к web серверу через SSL, т.к вариант vpn не прокатил, т.к. юзеры постоянно отваливаются, а автоматическое соединение с сервером vpn происходит постоянно через задницу, vpn не практичен, но я уверен, что есть решения, которые держат/восстанавливают постоянное vpn соединение. В общем почитав кучу информации смешанной с рекламой SSL у меня возникла следующая модель, которую я попытался реализовать: 1. С помощью OPEN SSL, создается корневой сертификат 2. Далее, создается именной сертификат для каждого пользователя, он устанавливается у него на машине, если юзеру нужно перекрыть доступ, его сертификат аннулируется. два раза с перерывами я мучался в итоге получилось, но браузер пишет, что сертификат не является подленным и без настроек в браузере работать с веб сервером не получиться. Причина: конечно же, в том, что корневой сертификат создан мною и он не является доверенным. Извиняюсь что много написал, это для того, может меня ткнут носом в корень и я на ложном пути? Собственно вопрос: Подскажите пожалуйста тариф для SSL чтобы : 1. Установить корневой ssl на web server 2. Выписывать индивидуальные ssl для юзеров Это возможно, может я грабли на велосипеде катаю? Как можно организовать индивидуальный защищенный доступ к вэб серверу не используя vpn или авторизацию системы? Спасибо за ответы.

Для того чтобы организовать защищенный доступ, нужно иметь только обычный серверный сертификат для веб сервера на доменное имя. Его проще купить, они не дорогие. Настроить веб сервер установив туда сертификат сделать привязку по https и запретить доступ по http. Авторизация в 1С будет по пользователю и паролю 1С, но трафик будет уже шифрованный, поэтому соединение будет защищено. Рабочие станции настраивать будет не нужно вовсе.

Спасибо за ответ, но любой пользователь сможет подключаться к авторизации 1С, а этого не надо, доступ должен блокироваться на уровне web срвера. Поэтому я предлагаю рассмотреть дочерние (пользовательские) сертификаты

А на счет авторизации по сертификату пользователя, это история более длинная. Во-первых их надо будет генерить самому, для этого нужен сертификат с возможностью выписки дочерних, это дороже (можно конечно самоподписанный, но не факт что получится с ним в 1С). Во-вторых эти сертификаты нужно передать на комп пользователя, и указывать при запуске тонкого клиента. Понятно что эти файлы пользователи могут и будут копировать. )

Не обязательно подключатся браузером. Я бы сделал подключение клиентом 1С. Ему все равно какой сертификат, глобальный или локальный. На веб сервере бы указал авторизацию по сертификату. В 1С бы импортировал сертификаты клиентов.

а чем бесплатный не подходит?

И еще, да, чета я не уверен что авторизация в 1С произойдет по пользовательскому сертификату.. Собственно как оно сопоставится-то с пользователем 1С? Сертификат только позволит дойти до веб сервера. Поэтому авторизация 1С все равно будет паролем.

>>В 1С бы импортировал сертификаты клиентов. Куды это "в 1С". :)

Все правильно. Сертификат позволит пройти веб и дойти до 1С. Там своя авторизация.

+ Я думаю, что это возможно только с доменным олицетворением, т.е. пользователей заносить в AD, сертификаты пользователей тоже в AD, да собственно она их выдавать должна тогда. Есть там такое. В 1С прописать авторизацию ОС. И молится чтобы IIS делал олицетворение. Вот тогда заработает автоматический вход в 1С.

в общем надо покупать SSL за 10$, лишним не будет и экспериментировать.

Это халявный SSL, можно на сайт вешать?

помер он, не доверяют ему, c 01.01.18 прекращают выпуск

поставь certbot, к простая команда, и забудь продлении, настрйоке и т.д. Будет вечный, валидный, сам прицепитсья, сам настроится

+ + он бесплатный