Liberar portas SSL fora do padrão 443 no ISA/TMG

3 de dezembro de 2010

Introdução:

O uso de portas SSL fora de padrão são constantemente usadas e a publicação padrão do ISA não permite este acesso.

Conhecimento Básico :

Gerenciamento do ISA/TMG , publicação de scripts e uso em prompt de comando.

Procedimento :

Baixe o arquivo http://www.isatools.org/tools/isa_tpr.js . Salve o script no c:\ do servidor ISA.

Entre no modo de comando e digite o comando :

isa_tpr.js /add Port8443 8443  ( neste caso esta liberando a porta 8443 para acesso SSL com nome 8443 )

Para outras funções use o comando: isa_tpr.js/?

Apos liberar a porta aparecerá a mensagem:

The web proxy service should be restarted to pick up the change.

Indicando que você deverá reiniciar o servidor.

Conclusão:

Ao liberar outras portas para uso SSL você permitirá entrada/saída do protocolo TCP com SSL para publicação e acesso a serviços e sites que usam portas fora do padrão.


Certificados OBB Plus Bradesco

3 de dezembro de 2010

Introdução:

O objetivo deste post é demonstrar como instalar os certificados gerados pelo sistema nas estações e também a gerar novos certificados devido a erros de instalação ou troca de servidor. De maneira alguma entrarei em discussão sobre o sofware do banco ou sua segurança.

Recomendações :

O Serviço do OBBPlus pode ser instalado em um servidor virtual rodando o Server 2003 Std . Em produção um servidor virtual dedicado com 1GB de memória e 2 cores disponiveis suportam 15 usuários simultâneos .
Acrescente memória adicional para cada conjunto de 10 usuários e teste a performance. Não é necessário a instalação de nenhum aplicativo adicional do Windows Server. Ao instalar rode o serviço de banco de dados como serviço e não como aplicativo.

Conhecimento básico:

Certificados , DNS , Serviços de publicação Tom Cat

Ambiente :

Instalação do OBB feita em uma estação cliente. Erro de certificado no Internet Explorer .
Troca de certificado do servidor.

Procedimentos:

Quando temos uma instalação de serviços de servidor em uma estação criamos alguns problemas, como a necessidade de manter a estação ligada , problemas com nome ou IP na referencia do certificado , etc.

Se a intenção é manter a instalação na estação , configure ela para que tenha IP fixo ou que o servidor DHCP registre o nome da estação no DNS .

Para que o servidor DHCP registre o nome das estações verifique se a configuração esta correta.

  1. Abra o gerenciador do DHCP
  2. Expanda o nome do servidor e em seguida click com o botão direito em IPV4 e propriedades.
  3. Click a aba DNS e verifique se as checkbox abaixo estão selecionadas.

Com isso você garante que sua estações sejam reconhecidas pelo nome não importando seu IP.

Agora abra seu navegador e acesse os serviços do OBB. Lembre-se que o acesso deve ser feito pelo mesmo endereço criado na instalação do OBB. Por exemplo:

Se ao instalar o OBB foi criado um certificado para o computador de nome ESTACAO01 , o acesso deve ser feito por : https://ESTACAO01 ( se usou o IP na instalação , tambem use no acesso )

O erro de certificado será mostrado , clique para continuar o acesso.
Siga os passos para tornar o certificado valido.

1- Acesse o sistema, ele retornará o erro de certificado não confiavel.

2- Clique no aviso de certificado e logo após em exibir certificado.

3- Clique em instalar certificado

4- Ao abrir o assistente clique em avançar e logo após escolha manualmente o local do repositório do certificado. Clique em procurar.

5- Selecione “Autoridades de raiz confiável ” e OK

6- Clique em avançar , logo após abrirá um aviso de segurança , confirme e terá o aviso de importação com sucesso.

7- Após a importação reinicie o Internet Explorer e acesse o sistema.
Se o nome do servidor estiver correto você não receberá mais a advertência e o internet explorer retornará :

Dependendo de suas configurações de segurança você terá que adicionar o site do sistema na lista de sites confiaveis do Internet Explorer. Caso você use o Mozila Firefox para acessar o sistema , instale tambem o certificado pelo IE e depois acesse pelo Firefox e adicione a exceção de acesso.

Ajustando Certificados em caso de troca de servidor ou apontamento errado do certificado.

Esta sem dúvida é a parte mais importante. ANTES DE INICIAR A FAZE-LA FAÇA UM BACKUP COMPLETO DA MAQUINA E TAMBEM UM BACKUP PELO PROPRIO SISTEMA DO OBB.

Os caminhos padrão para rodar os programas necessários seguem abaixo:

:/obbplus/aplicacao/infra/tomcat/conf
arquivo server.xml -> usado na configuração do servidor.

:/obbplus/java/jre/bin
keytool.exe -> usaremos este aplicativo para gerenciar os certificados.

Vamos lá. Crie uma pasta chamada CERTIFICADO .
Abra o Prompt de Comando e gere um novo Keystore com alias certificado e preencha com os dados da empresa , não esqueça de definir a senha do keystore.

O keystore é o local aonde ficará armazenado os certificados do TOMCAT.

Copie os certificados raiz de seu CA dentro da pasta certificado.

O comando para gerar o keystore e certificado. Lembre-se de estar na mesma pasta do aplicativo keytool.
——-
keytool -genkey -alias certificado -keyalg RSA -keystore C:\Certificado\Keystore\definaonome.kdb -valitidy 3650

Preenchimento dos dados
———————–
What is your first and last name?
[Unknown]: http://www.dominio.com.br
What is the name of your organizational unit?
[Global Sign]: Razão da Empresa
What is the name of your organization?
[Global Sign]: Razão da Empresa
What is the name of your City or Locality?
[London]: Cidade
What is the name of your State or Province?
[London]: Estado
What is the two-letter country code for this unit?
[GB]: País

Ele vai pedir para você gerar uma nova senha e confirma-la. Guarde-a para usa-la daqui a pouco.

Agora vamos importar o certificado root e principal do CA ( caso você esteja logado em um dominio , caso contrario pode ignorar esta parte).
——
keytool -import -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -alias Root -trustcacerts -file C:\Certificado\Certificadora\root.cer

keytool -import -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -alias Primary -trustcacerts -file C:\Certificado\Certificadora\root.cer

Para verificar os certificados:

keytool -list -keystore C:\Certificado\Keystore\nomedefinidonocomando1.kdb -v > C:\Certificado\list.txt
Agora vamos ajustar arquivo server.xml .
Abra o arquivo com o bloco de notas e encontre a linha que define o caminho do keystore , altere para o novo caminho que voce criou . Não esqueça de alterar a senha tambem.

Lembrete: Antes de alterar o arquivo server.xml faça uma copia dele e pare os serviços do OBB. Ao editar o server.xml você vai reparar que o keystore padrão não possui extensão e a senha está criptografada. Após o ajuste o seu keystore terá extenção e sua senha estará aberta.

Inicie o serviço e teste o sistema.Cheque os certificados e instale o novo certificado nas estações .

Conclusão:

Este ajuste é indicado para parar com os erros repetitivos do IE. Estes erros não afetam o uso do sistema . A central do Bradesco não da suporte a este nivel de ajuste.


Inicio

2 de dezembro de 2010

Começamos hoje o trabalho neste Blog. Estaremos atualizando os tutoriais e dicas em breve.