certificado sitio web

Estas omitiendo varios datos, como por ejemplo si dispones de AD, si estas
usando "one to one mappings" o "many to one", si utilizas AD mappings o IIS
mappings, si utilizas tu propia CA o una CA comercial, ect, etc

El uso de certificados digitales precisamente evita el uso de contraseñas,
luego todo indica que ese sitio web ni esta configurado correctamente para
requerir unicamente como metodo de autentificacion certificados digitales.

Un saludo.
Ivan
MS MVP ISA Server


"miguel" escribió en el mensaje
news:

Buenas,

tengo un dudilla y no le encuentro solución,

tengo un sitio web y tengo un certificado implantado todo ok. Tambien lo
tengo configurado para q solo se conecte el usuario que tiene certificado
de
cliente . Mi duda está una vez ha validado el certificado de cl iente y el
certificado de servidor, me pide un usuario y pass (el de directorio
activo,
está configurado así), el problema está en le pongo cualquier usuario del
dominio y se loga ,cuando lo q quiero es que solo se pueda logar el
usuario
que se ha conectado con el certificado de cliente.

conoceis alguna manera de hacerlo??

gracias

buenas Ivan,

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.
Probé con "one to one mappings" en IIS mappings, pero me mapea directamente
el usuario con el certificado y quiero que el usuario tenga q poner las
credenciales y ademas que solo ese usuario pueda logarse, no me sirve q una
vez pasados los certificados cuando me pide el login se lo logue cualquier
usuario del AD. El certficado es nuestro, es decir creado por nosotros en
AD.

Ya se q el certificado tiene esa finalidad, como tu indicas. Pero si me
roban un portatil en el cual va el certificado cliente (en el IE) y con ese
portátil se conectan a la pag web podría acceder, por eso queremos q se
tengan q logar y q solo se pueda logar el usuario el cual inicio la sesión
con su certificado cliente.

No se si me he explicado bien, si te hacen falta mas datos dímelo q te los
pongo

muchas gracias

saludos,





"Ivan [MS MVP]" escribió en el mensaje
news:

Estas omitiendo varios datos, como por ejemplo si dispones de AD, si estas
usando "one to one mappings" o "many to one", si utilizas AD mappings o
IIS mappings, si utilizas tu propia CA o una CA comercial, ect, etc

El uso de certificados digitales precisamente evita el uso de contraseñas,
luego todo indica que ese sitio web ni esta configurado correctamente para
requerir unicamente como metodo de autentificacion certificados digitales.

Un saludo.
Ivan
MS MVP ISA Server


"miguel" escribió en el mensaje
news:

Buenas,

tengo un dudilla y no le encuentro solución,

tengo un sitio web y tengo un certificado implantado todo ok. Tambien lo
tengo configurado para q solo se conecte el usuario que tiene certificado
de
cliente . Mi duda está una vez ha validado el certificado de cl iente y
el
certificado de servidor, me pide un usuario y pass (el de directorio
activo,
está configurado así), el problema está en le pongo cualquier usuario del
dominio y se loga ,cuando lo q quiero es que solo se pueda logar el
usuario
que se ha conectado con el certificado de cliente.

conoceis alguna manera de hacerlo??

gracias

"miguel" escribió en el mensaje
news:%239m%

buenas Ivan,

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que tienes
AD, no vamos a darle mas vueltas a esto

Probé con "one to one mappings" en IIS mappings, pero me mapea
directamente e "Implicit mappings" (el certificado se asocia a el usuaro

Que tipo de CA utilizas ? una enterprise CA ? SObre que version de Windows ?
2003 EE?
A priori, creo que lo mejor es usar usar "AD Mappings", "implicit mappings"
y logicamente one-to-one mappings.

el usuario con el certificado y quiero que el usuario tenga q poner las
credenciales y ademas que solo ese usuario pueda logarse,

No, asi no funciona el uso de certificados. Lo que puedes hacer en ese caso
es habilitar "Strong private key protection" para cada vez que se acceda a
la clave privada del certificado, se solicite un PIN (contraseña). En este
caso es perfectamente viable, no asi en otros, como por ejemplo EFS. Otra
opcion es usar smart cards.

no me sirve q una vez pasados los certificados cuando me pide el login se
lo logue cualquier usuario del AD. El certficado es nuestro, es decir
creado por nosotros en AD.

Como te he conmentado antes, si utilizas implicit mappings (el certificado
se asocia a la cuenta de usuario basandose en la inormacion incluida dentro
del Subject o Subject alternate name del certificado), one-to-one mapings y
strong private key proteccion, solo el usuario que tenga en su poder el
certificado, conozca el PIN de dicho certificado y su cuenta de usuario este
autorizada en el stio web (Seguridad NTFS), podra acceder.

Ya se q el certificado tiene esa finalidad, como tu indicas. Pero si me
roban un portatil en el cual va el certificado cliente (en el IE) y con
ese portátil se conectan a la pag web podría acceder, por eso queremos q
se tengan q logar y q solo se pueda logar el usuario el cual inicio la
sesión con su certificado cliente.

Si habilitas "Strong private key proteccion", no hay ese problema. Con el
certificado solo no puede hacer nada, necesita el PIN. Te insito de nuevo
que para este caso, autentificacion web, se puede utilizar, no asi en otros
certificados, depende.

No se si me he explicado bien, si te hacen falta mas datos dímelo q te los
pongo

Pues si me dices sobre que version del SO operativo esta instalada la CA y
si es una enterprise CA o una stand alone, mejor que mejor

Un saludo.
Ivan
MS MVP ISA Server

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que tienes
AD, no vamos a darle mas vueltas a esto

Nada... ni caso vaya empanada que tengo ;-) blanco y en botella.. y
yo me empeño en decir Kas de naranja

Un saludo.
Ivan
MS MVP ISA Server

"Ivan [MS MVP]" escribió en el mensaje
news:e98NF6$

"miguel" escribió en el mensaje
news:%239m%

buenas Ivan,

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que tienes
AD, no vamos a darle mas vueltas a esto

Probé con "one to one mappings" en IIS mappings, pero me mapea
directamente e "Implicit mappings" (el certificado se asocia a el usuaro

Que tipo de CA utilizas ? una enterprise CA ? SObre que version de Windows
? 2003 EE?
A priori, creo que lo mejor es usar usar "AD Mappings", "implicit
mappings" y logicamente one-to-one mappings.

el usuario con el certificado y quiero que el usuario tenga q poner las
credenciales y ademas que solo ese usuario pueda logarse,

No, asi no funciona el uso de certificados. Lo que puedes hacer en ese
caso es habilitar "Strong private key protection" para cada vez que se
acceda a la clave privada del certificado, se solicite un PIN
(contraseña). En este caso es perfectamente viable, no asi en otros, como
por ejemplo EFS. Otra opcion es usar smart cards.

no me sirve q una vez pasados los certificados cuando me pide el login se
lo logue cualquier usuario del AD. El certficado es nuestro, es decir
creado por nosotros en AD.

Como te he conmentado antes, si utilizas implicit mappings (el certificado
se asocia a la cuenta de usuario basandose en la inormacion incluida
dentro del Subject o Subject alternate name del certificado), one-to-one
mapings y strong private key proteccion, solo el usuario que tenga en su
poder el certificado, conozca el PIN de dicho certificado y su cuenta de
usuario este autorizada en el stio web (Seguridad NTFS), podra acceder.

Ya se q el certificado tiene esa finalidad, como tu indicas. Pero si me
roban un portatil en el cual va el certificado cliente (en el IE) y con
ese portátil se conectan a la pag web podría acceder, por eso queremos q
se tengan q logar y q solo se pueda logar el usuario el cual inicio la
sesión con su certificado cliente.

Si habilitas "Strong private key proteccion", no hay ese problema. Con el
certificado solo no puede hacer nada, necesita el PIN. Te insito de nuevo
que para este caso, autentificacion web, se puede utilizar, no asi en
otros certificados, depende.

No se si me he explicado bien, si te hacen falta mas datos dímelo q te
los pongo

Pues si me dices sobre que version del SO operativo esta instalada la CA y
si es una enterprise CA o una stand alone, mejor que mejor

Un saludo.
Ivan
MS MVP ISA Server

buenas ivan

ante todo muchas gracias.

La CA esta instalada sobre win 2k server y es una enterprise. Miraré lo q me
comentas del "Strong private key protection" q no lo habia visto. Esa opcion
esta por los mappings?? Algun consejo para configurarla?? lo q me comentas
de poner el pin me interesa.

gracias

saludos,


"Ivan [MS MVP]" escribió en el mensaje
news:%

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que tienes
AD, no vamos a darle mas vueltas a esto

Nada... ni caso vaya empanada que tengo ;-) blanco y en botella..
y yo me empeño en decir Kas de naranja

Un saludo.
Ivan
MS MVP ISA Server

"Ivan [MS MVP]" escribió en el mensaje
news:e98NF6$

"miguel" escribió en el mensaje
news:%239m%

buenas Ivan,

Lógicamente si digo q me pide un usuario y password del AD es q hay AD.

Pues no, eso no quiere decir nada... De todas formas, aclarado que tienes
AD, no vamos a darle mas vueltas a esto

Probé con "one to one mappings" en IIS mappings, pero me mapea
directamente e "Implicit mappings" (el certificado se asocia a el usuaro

Que tipo de CA utilizas ? una enterprise CA ? SObre que version de
Windows ? 2003 EE?
A priori, creo que lo mejor es usar usar "AD Mappings", "implicit
mappings" y logicamente one-to-one mappings.

el usuario con el certificado y quiero que el usuario tenga q poner las
credenciales y ademas que solo ese usuario pueda logarse,

No, asi no funciona el uso de certificados. Lo que puedes hacer en ese
caso es habilitar "Strong private key protection" para cada vez que se
acceda a la clave privada del certificado, se solicite un PIN
(contraseña). En este caso es perfectamente viable, no asi en otros, como
por ejemplo EFS. Otra opcion es usar smart cards.

no me sirve q una vez pasados los certificados cuando me pide el login
se lo logue cualquier usuario del AD. El certficado es nuestro, es decir
creado por nosotros en AD.

Como te he conmentado antes, si utilizas implicit mappings (el
certificado se asocia a la cuenta de usuario basandose en la inormacion
incluida dentro del Subject o Subject alternate name del certificado),
one-to-one mapings y strong private key proteccion, solo el usuario que
tenga en su poder el certificado, conozca el PIN de dicho certificado y
su cuenta de usuario este autorizada en el stio web (Seguridad NTFS),
podra acceder.

Ya se q el certificado tiene esa finalidad, como tu indicas. Pero si me
roban un portatil en el cual va el certificado cliente (en el IE) y con
ese portátil se conectan a la pag web podría acceder, por eso queremos q
se tengan q logar y q solo se pueda logar el usuario el cual inicio la
sesión con su certificado cliente.

Si habilitas "Strong private key proteccion", no hay ese problema. Con el
certificado solo no puede hacer nada, necesita el PIN. Te insito de nuevo
que para este caso, autentificacion web, se puede utilizar, no asi en
otros certificados, depende.

No se si me he explicado bien, si te hacen falta mas datos dímelo q te
los pongo

Pues si me dices sobre que version del SO operativo esta instalada la CA
y si es una enterprise CA o una stand alone, mejor que mejor

Un saludo.
Ivan
MS MVP ISA Server