IIS: SSL (Создаём *.PFX из *.CRT и *.KEY)

ssl Задача: Установить купленный SSL сертификат  в IIS.

История. Для приобретения сертификата нужно сформировать CSR запрос. Открываю консоль IIS 8.5 иду в «servers sertificate» и генерирую certificate request, длинной не меньше 2048 bit. У одного из хостеров копирую его в форму генерации SSL сертификата и вижу ошибки.  Не принимает запрос, говорит не верный и всё. Пробовал разные длинны ключа. Не очень хотелось генерировать CSR запрос на стороне. Так как не секюрно и проблем с приватным ключом меньше. НО! Пришлось использовать форму хостера (далее расскажу почему была проблема) и там создать CSR запрос и получить приватный ключ. СОХРАНИТЕ ЭТОТ КЛЮЧ в текстовом файлике *.key (пригодится!) Далее валидация домена при помощи кода на почту…. И вот у меня есть сертификат .crt.

Вот тут началось… из-за незнания! Что делать с приватным ключом. Его нужно сохранить в MyDomain.key и беречь! Это залог безопасности того, что будете оберегать SSL ключём! Вот по этому и не хотелось генерировать csr и получать приватный ключ на стороне. Далее необходимо добавить ключь и сертификат в хранилище Windows server. Windows примет сертификат, но без приватного ключа он бесполезен, а импорт возможен в спец формате *.pfx. Это запароленный бинарь с ключём и сертификатом. Так вот как создать этот бинарь.

Создаём *.PFX из *.CRT и *.KEY для импорта сертификата.

Можно сделать несколькими способами. Нам нужна утилита которая сконвертирует по сути текстовые файлы crt и key в бинарь.

openssl.exe pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

openssl.exe для Windows можно взять  тут. Далее

openssl pkcs12 -export -out domain.name.pfx -inkey domain.name.key -in domain.name.crt

pvk2pfx.exe это компонент SDK и чтобы его получит, нужно скачать SDK 10, Установить и мотом использовать pvk2pfx.exe.

Я пошёл по 1му пути. А потом всё просто. Открываем оснастку управления сертификатами

RUN > MMC > FIle> Add Remove Snap -In…  и импортируем наш pfx файл в нужное нам хранилище!

А когда сертификат и ключ в хранилище, тогда всё хорошо! Открываем IIS — свойства сайта, и биндим наш SSL на 443 порт. Всё.

А, да.. Причина по которой хостер не принимал сертификат это CSR запрос sha1. Который деприкейтнут! Проверить валидность CSR запроса можно тутКак создать CSR запрос с SHA2 (SHA256)в Windows и тут

CSR SHA2

 

 

 

 

P.S Ранее рассказывал как получить бесплатный сертификат на 1 или 3 года. Но на китайцев наехали и они прикрыли китайскую лавочку с щедрым аттракционом по раздаче SSL.  Но вот тут вроде есть триальные на 90 дней startssl.com и comodo.com

Рубрика: Windows, Администрирование, Безопасность | Добавить комментарий

RDP: Установка SSL сертификата

RDPSSL Задача: Установить свой SSL сертификат полученный в wosign.com. Так что-бы при подключении к Win серверу\десктоп компьютеру по RDP не появлялось сообщение о том, что сертификату не стоит доверять.

 

Решение: Получаем сертификат. Как это сделать, описал в другой статье или тут почитать. Далее по инструкции от MS или тут или здесь.

1 В групповых политиках

Computer Policy > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host, and then > Security.

Включаем политику «Require use of specific security layer for remote (RDP) connections» указав значение SSL (TLS 1.0) . Теперь сервер будет устанавливать соединение только по  SSL (TLS 1.0).

2

sertДалее импортируем сертификат. Открываем mmc и добавляем сертификаты локального компьютера. Открываем раздел «Personal»  и импортируем полученный сертификат. Иконка сертификата должна быть с ключиком. Нам нужен Thumbprint нашего сертификата. Добавляем NETWORK SERVICE (права Чтение).

Thumbprint Копируем его. Для удаления скрытых символов вставим в открытое окно CMD. Скопируем из CMD без лишнего и формируем команду для добавления записи в реестр

 

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=»THUMBPRINT»

Где «THUMBPRINT» = без пробелов.

3 Нужно применить групповые политики для этого выполним

gpupdate /force

Удалим старый сертификат который находится в хранилище сертификатов «Remoter Desktop» перезагрузимся (вроде не обязательно). Сертификат в хранилище «Remoter Desktop» сгенерируется заново, но использоваться будет новый, thumbprint которого будет указан в реестре

Registry path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Value name:  SSLCertificateSHA1Hash
Value type:  REG_BINARY
Value data:  certificate thumbprint

Полезные ссылки:

В целом делать  так

Про ssl

 

Рубрика: Windows, Администрирование | Метки: , | Добавить комментарий

IIS: Webdav over SSL

webdav WebDAV (Web Distributed Authoring and Versioning) или просто DAV — набор расширений и дополнений к протоколу HTTP, поддерживающих совместную работу пользователей над редактированием файлов и управление файлами на удаленных веб-серверах.

Задача:

1 На Win server 2012 R2 настроить Webdav средствами IIS. Встроенным клиентом в Win 8.1 подключится к Webdav серверу.

2 Настроить шифрованое соединение через https (ssl)

3 Подключится с мобильных ОС (android, win phone 8.1)

Решение:

1. Берём win 2012 R2 и устанавливаем IIS с поддержкой WebDav Publishing.

2.  Делаем нужную А запись в DNS сервере, по которой будем обращаться к Webdav. К примеру webdav.mydomain.ru. Создаём домен (не забыв указать нужные права на хомяк) в IIS и включаем поддержку Webdav в WebDAV authoring rule.  Создаём правило подключения пользователей — WebDAV authoring, указав нужные параметры доступа и выбрав пользователей\группуы. Далее в свойствах сайта заходим в раздел Authentication, и разрешаем только Windows Authentication. По сути минимум настроек сделано, WebDAV будет работать.

3. Настраиваем клиента. В домашних Win ОС клиент по умолчанию доступен. В серверных нужно доставить Desktop Experience в Features. Подключать можно с консоли NET USE * http://webdav.mydomain.ru в результате будет подключён сетевойдиск или сетевая папка. Но это по протоколу HTTP и при этом данные будут ходить в открытом виде, кроме пароля авторизации. Для шифрования нужно использовать WebDAV over SSL.

4. Настраиваем сервер IIS для работы WebDAV по протоколу https. Нам понадобится сертификат SSL. Его можно купить ~440р/год, можно получить у китайцев, подробней о заказе тут. Или создать самоподписной сертификат. Первые 2 способа не требуют добавления на каждом клиенте, сертификата в довереннные, третий подразумивает добавление его в доверенные. Как добавить первые 2 сертификата, рассказано тут и с этим должно быть всё просто. IIS может формировать самоподписные сертификаты, но CN в них обычно = имени хоста, а не тому URL по которому вы подключаетесь к серверу. По этому сертификат не будет валидным. Для формирования самоподписного сертификата для Webdav На IIS, нужна утилита SelfSSL входящая в комплект (IIS) 6.0 Resource Kit Tools. О сертификатах в IIS описано подробно тут. Как сгенерировать сертификат расказано тут, я же укажу строку с параметрами. Сама утилита обычно лежит по пути C:\Program Files (x86)\IIS Resources\SelfSSL. Вызываем её с параметрами:

selfssl.exe /N:CN=webdav.mydomain.ru /V:1000

selfssl

После добавления сертификата на сервер, нужно зайти в раздел Edit bindings в IIS нашего домена и сделать привязку имени к сертификату.

После успешных действий можно подключаться клиентом WebDav по протоколу HTTPS.

NET USE * https://webdav.mydomain.ru  /USER:ИмяПользователя  Пароль

5. Подключение мобильных устройств к WebDav.

Если используем самоподписной сертификат, то нужно его добавить на устройстве в доверенные!!

Win OS:

CarotDAV — Единый клиент для Dropbox, Google Drive, SkyDrive и не только

Android:

Win Phone:

Для Win Phone 8.1 я не нашёл родного клиента и использую WebDav File. Всё бы ничего, но вот хочется отправлять фотки и файлики из приложений прям в WebDav как в MS OneDrive нативно и просто в пару кликов.

ShareFolder Explorer

Полезные ссылки:
На этом всё. Вот кучка полезных ссылок для шаманства.

WebDav клиент ошибка 0x800700DF или лимит размера файла

Ввремя жизни кэша для протокола WebDAV в Windows 7

Значение времени жизни кэша для WebDAV в Windows 7 – 60 секунд. Чтобы изменить это значение, вам нужно изменить ключ реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxDAV\Parameters\FileNotFoundCacheLifeTimeInSec. Эта мера необходима, т.к. не существует механизма, который бы чистил кэш по требованию.

Тормозят ресурсы WebDAV в Windows 7

Про WebDav аутентификации и тут малость.

Отладка ошибок WebDav

Рубрика: Windows, Администрирование | Метки: , | Добавить комментарий

Nissan note: Чистка радиаторов охлаждения и ремонт вентилятора

WP_20160807_10_41_26_Pro

Nisan note вентилятор радиатора

Как-то в жару стоя в пробке, загорелся индикатор перегрева двигателя. Включаем печку и открываем окна. Ждём падения температуры двигателя и повышения своей 8).

Решил почистить радиаторы, заменить охлаждающую жидкость и посмотреть почему так шумит вентилятор радиатора.

Как добраться до радиатора, не буду писать. Так как это не сложно. Есть нюансы.

-Для снятия декоративной решётки нужен хитрый инструмент или согнутый кусок арматуры 4мм, для открепления зажимов, которые находятся с нижней стороны.

-Перед снятием клем с датчика удара, который на перекладине-телевизоре, снимите клему с аккумулятора, иначе потом будет ошибка

-Осторожней с клипсами, я много поломал.

WP_20160807_10_24_07_ProСняв решётку и перекладину (телевизор) снимаем верхний патрубок с радиатора (прольётся ~100г жидкости), все разъёмы я заткнут тряпкой, что бы шрязь не попала. Откручиваем и снимаем диффузор с вентилятором. Теперь можно промыть радиатор, кто чем может воздухом, струёй воды, но не мощной, загнутся ячейки. Осторожней электрику не залейте (генератор и блок предохранителей.)

WP_20160807_09_17_19_Pro Вентилятор крепится на хитрых винтах, подошла головка на 5.5. Сняв вентилятор, сжимаем развальцованные штырьки, которые по кругу (видны на фото) Аккуратно разъединяем, под крышкой пластиковая схема, и много графитовой пыли. Продуваем, смотрим цел ли якорь на роторе, в порядке ли щётки.

WP_20160807_10_56_12_ProПроверяем смазка на задней части ротора. К переднему подшипнику можно добраться сняв лопасти. внимание, винт с ЛЕВОЙ РЕЗЬБОЙ, я сорвал шлицы и поработал болгаркой А винтика с левой резьбой я не смог найти в автомагазинах и стройрынках. Подшипник не обслуживаемый, я просто налил на него масло и шуруповёртом покрутил в надежде что он смажется. и замазал литолом. Собираем и  развальцовываем обратно. Сложно надевать лопасти на вал ротора. После этих работ я надеюсь продлил жизнь мотору хоть на годик — другой,  который стоит от 5 до 7 т.р не оригинал. Вот что делает жаба.

Антифриз у меня был зелёный. Осторожно он может быть ОЧЕНЬ горячим. Сливал на яме, сняв нижний патрубок радиатора. Слилось около 2 литров. Надел патрубок, завёл и слил ещё пол литра. Залил медленно, 2,5 литра, завёл авто, погазовал малёк, печку включил и опять слил 2,5 литра. После долил до полной горловины и макс. в расширит бачке. 5 литрово антифриза мне хватило для промывки и замены.

Рубрика: Про авто | Добавить комментарий

Windows PowerShell: Cmdlet Library from The Vexasoft

Powerful new cmdlets for System Administrators

Собственно вот линк на них : The Vexasoft Cmdlet Library
for Windows PowerShell

Рубрика: Powershell | Добавить комментарий

Event Log: Перезагрузки

Для просмотра даты и времени всех не запланированных перезагрузок в OS Windows есть способ:

Отфильтровать все события в разделе System под номером 6008.

Для просмотра даты и времени всех запланированных перезагрузок в OS Windows есть способ.

Отфильтровать все события в разделе System под номером 1074 Event sources выбрать USER32

Подробней тут

Рубрика: Windows, Администрирование | Добавить комментарий

Ростов Великий

Rostov21-23.02.2016 был в Ростове Великом. Ехали от Москвы. Заехали в музей паровозов в Переславле-Залесском. Рекомендую занять очередь на дрезину, а потом гулять. Летом кафе работает, зимой флягу с чаем и коньячком берите с собой!

Далее сам Ростов. На авито нашли жильё.  Частный дом 2 комнаты, всё есть. 2000р ночь (без праздников дешевле). Если хотите гостиницу, то дороже будет. От 2500 за 2х месный номер. Учитывайте часы заселения\выселения. Бронируйте за ранее, мест маловато. У частника всё гибко.

Город маленький, оставаться на вторую ночь не стоит, если нет желания не гнать коней а ходить в своё удовольствие.

Посетили Кремль, походили по музеям. В царских палатах ожидал увидеть убранство царское, а не картины. Звонница стоящее место, виды супер.Цены на вход в кремли и музеи примерно 50-150р. есть единый билет 500р на 2 дня. Можно присоединится к экскурсии, купив билеты в кассе кремля, но она нудная, лучше нанять экскурсовода, в интернете их куча и заказать обзорку по городу и кремлю, если у вас есть авто и свободное место.

Покушать можно, но вкусно не везде. Советую кафе Алёша Попович. Вкусно и не дорого. Отведайте пельмени Алёша попович с хреном!

Далее хотели посетить «Луковое подворье». Что это не знали, но там супер. первый этаж кафе и много еды из лука, а второй музей лука где девушка задорно ведёт экскурсию 15 мин 50р есть побольше, подороже. Очень интересно про лук и историю города. Попробуйте луковые лепёшки, луковый мармелад и луковое варенье. Обязательно попробуйте\купите хреновуху! Рядом «Щучий двор»  там интересно. но не успели. Все музеи работают до 17:00 кафешки до 19:00-20:00 после этого город вымерает.

Дорога от Москвы до РОстова ~320 заняла 4 часа. Внимательней в населённых пунктах камеры, соблюдайте скоростной режим.

Рубрика: Отдых - Туризм | Метки: | Добавить комментарий

Мониторинг: event ID

Event ID Мониторинг нужен всегда. К примеру Raid массива.  Этот перепост как антисклерозник. Вот оригинал

Вот полезный документ, рассказывающий о том, какие события (event IDs) обязательно должны отслеживаться в рамках обеспечения информационной безопасности Windows.

О том, как настроить аудит.

Контроллеры доменов

Event ID — (Категория) — Описание

1) 675 или 4771
(Аудит событий входа в систему)
Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos на рабочей станции с доменной учетной записью. Обычно причиной этого является несоответствующий пароль, но код ошибки указывает, почему именно аутентификация была неудачной. Таблица кодов ошибок Kerberos приведена ниже.

2) 676, или Failed 672 или 4768
(Аудит событий входа в систему)
Событие 676/4768 логгируется для других типов неудачной аутентификации. Таблица кодов Kerberos приведена ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 672 вместо 676.

3) 681 или Failed 680 или 4776
(Аудит событий входа в систему)
Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через
NTLM с доменной учетной записью. Код ошибки указывает, почему именно аутентификация была неудачной.
Коды ошибок NTLM приведены ниже.
ВНИМАНИЕ: В Windows 2003 Server событие отказа записывается как 680 вместо 681.

4) 642 или 4738
(Аудит управления учетными записями)
Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи. Описание события уточняется в соответствие с типом изменения.

5) 632 или 4728; 636 или 4732; 660 или 4756
(Аудит управления учетными записями)
Все три события указывают на то, что указанный пользователь был добавлен в определенную группу. Обозначены Глобальная (Global), Локальная (Local) и Общая (Universal) соответственно для каждого ID.

6) 624 или 4720
(Аудит управления учетными записями)
Была создана новая учетная запись пользователя

7) 644 или 4740
(Аудит управления учетными записями)
Учетная запись указанного пользователя была заблокирована после нескольких попыток входа

8) 517 или 1102
(Аудит системных событий)
Указанный пользователь очистил журнал безопасности

Вход и выход из системы (Logon/Logoff)

Event Id — Описание

528 или 4624 — Успешный вход в систему
529 или 4625 — Отказ входа в систему – Неизвестное имя пользователя или неверный пароль
530 или 4625 Отказ входа в систему – Вход в систему не был осуществлен в течение обозначенного периода времени
531 или 4625 — Отказ входа в систему – Учетная запись временно деактивирована
532 или 4625 — Отказ входа в систему – Срок использования указанной учетной записи истек
533 или 4625 — Отказ входа в систему – Пользователю не разрешается осуществлять вход в систему на данном компьютере
534 или 4625 или 5461 — Отказ входа в систему – Пользователь не был разрешен запрашиваемый тип входа на данном компьютере
535 или 4625 — Отказ входа в систему – Срок действия пароля указанной учетной записи истек
539 или 4625 — Отказ входа в систему – Учетная запись заблокирована
540 или 4624 — Успешный сетевой вход в систему (Только Windows 2000, XP, 2003)

Типы входов в систему (Logon Types)

Тип входа в систему — Описание

2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)

Коды отказов Kerberos

Код ошибки — Причина

6 — Имя пользователя не существует
12 — Ограничение рабочей машины; ограничение времени входа в систему
18 — Учетная запись деактивирована, заблокирована или истек срок ее действия
23 — Истек срок действия пароля пользователя
24 — Предварительная аутентификация не удалась; обычно причиной является неверный пароль
32 — Истек срок действия заявки. Это нормальное событие, которое логгируется учетными записями компьютеров
37 — Время на рабочей машины давно не синхронизировалось со временем на контроллере домена

Коды ошибок NTLM

Код ошибки (десятичная система) — Код ошибки (16-ричная система) — Описание

3221225572 — C0000064 — Такого имени пользователя не существует
3221225578 — C000006A — Верное имя пользователя, но неверный пароль
3221226036 — C0000234 — Учетная запись пользователя заблокирована
3221225586 — C0000072 — Учетная запись деактивирована
3221225583 — C000006F — Пользователь пытается войти в систему вне обозначенного периода времени (рабочего времени)
3221225584 — C0000070 — Ограничение рабочей станции
3221225875 — C0000193 — Истек срок действия учетной записи
3221225585 — C0000071 — Истек срок действия пароля
3221226020 — C0000224 — Пользователь должен поменять пароль при следующем входе в систему

P.S. Хотите полностью автоматизировать работу с журналами событий? Попробуйте новую версию NetWrix Event Log Manager 4.0, которая осуществляет сбор и архивирование журналов событий, строит отчеты и генерирует оповещения в режиме реального времени. Программа собирает данные с многочисленных компьютеров сети, предупреждает Вас о критических событиях и централизованно хранит данные обо всех событиях в сжатом формате для удобства анализа архивных данных журналов. Доступна бесплатная версия программы для 10 контроллеров доменов и 100 компьютеров.

Рубрика: Windows, Администрирование | Метки: | Добавить комментарий

Зачем директору сервер?: Разговорник

Zachem_Server Сценарии использования Windows Server 2008 R2

Windows Server – это ключ к построению эффективной IT-инфраструктуры.
Операционная система Windows Server 2008 R2 помогает организациям на-
ладить базовую сетевую инфраструктуру и расширить используемые воз-
можности серверной ОС. Благодаря этому компании могут сократить затра-
ты на оргтехнику, аппаратное обеспечение и администрирование, повысить
уровень безопасности системы и продуктивности сотрудников, а главное –
построить надежную основу для роста инфраструктуры и бизнеса.

Подробней в SERVER_Razgovornik, возможно анформация о лицензировании будет полезна (Правда о Win 2008 R2 И Win 2012)  тут

Рубрика: Windows | Метки: | Добавить комментарий

Performance: Утилита PAL и perfmon

PAL Был на встрече MCP и там узнал о утилите которая парсит лог от Perfmon.exe. В результате генерирует html отчёт

Подробней тут статья Комарова Михаила Microsoft MVP

Утилита PAL Автор Clint Huffman

 

PAL, имеет набор шаблонов для сборки счётчиков, для  первоначальной диагностики узкого горлышка у сервера стоит использовать шаблон SystemOverview.

Утилита PAL и perfmon по моему быстрый способ оценки производительности, без поднятия систем мониторинга, таких как System Center, cacti, Zabbix  и тд. Быстро бесплатно и на коленке.

1 Создаём сборщик логов Perfmon.exe при помощи утилиты logman

logman import SystemOverview -xml C:\PerfLogs\PAL\SystemOverview.xml
logman update SystemOverview -f bincirc -max 900
logman update SystemOverview -o C:\PerfLogs\PAL\SystemOverview.blg
logman start SystemOverview

2 После сборки логов генерируем скрипт POSH, при помощи утилиты PAL , или можно ей сразу и запустить.

Подробней и чётко в этой статье

 

Рубрика: Powershell, Windows, Администрирование | Метки: | Добавить комментарий