none
Error con SSL en la replicación de mezcla mediante sincronización web RRS feed

  • Pregunta

  • Hola!

    Espero que me puedan ayudar a resolver mi problema:

    He configurado la replicación de mezcla entre dos servidores ubicados en redes distintas. Cuando conecto el suscriptor mediante VPN, la replicación se realiza sin problemas pero necesito habilitar la sincronización web y realizo lo siguiente:

    Genero un certificado autofirmado (en las propiedades veo: Emitido para: MISERVER.midominio.local) y lo instalo en el suscriptor (que se encuentra en otra red) en el almacén de entidades raiz de confianza del equipo local. Para configurar la sincronización web utilizo la URL con Dyndns por lo que la configuro así: https://dominio.ddns.net/Directorio/replisapi.dll?diag, por este motivo IE siempre me muestra la alerta de seguridad y por lo tanto no se inicia la replicación.

    Si conecto el suscriptor mediante VPN y abro IE e introduzco https://MISERVER.midominio.local/Directorio/replisapi.dll?diag ya no me salta la alerta de seguridad (supongo por que consigue resolver el nombre del host en la red) de manera que coincide el domino de la URL con el campo EMITIDO del certificado.

    Este es un escenario de pruebas antes de llevarlo a producción. En estos momentos no cuento con una IP pública fija y utilizo un Dyndns. ¿Alguna solución posible? 

    Muchas gracias

    miércoles, 1 de marzo de 2017 17:02

Respuestas

  • Ya que estás usando un certificado autofirmado, podrías generarte un certificado para dominio.ddns.net. De hecho, con un poco de habilidad, podrías añadir en el mismo certificado más de un dominio, y hacer que el certificado valga para dominio.ddns.net además de para MISERVER.midominio.local. No sé si con MKCERT se puede, pero si habilitas la autoridad de certificación de Windows Server, sí que te deja añadir más de un dominio al mismo certificado. Esto solo hace falta si necesitas conectarte unas veces por la VPN y otras por ddns. Si te vas a conectar siempre por ddns, basta con que generes el certificado para dominio.ddns.net.
    miércoles, 1 de marzo de 2017 18:45

Todas las respuestas

  • Ya que estás usando un certificado autofirmado, podrías generarte un certificado para dominio.ddns.net. De hecho, con un poco de habilidad, podrías añadir en el mismo certificado más de un dominio, y hacer que el certificado valga para dominio.ddns.net además de para MISERVER.midominio.local. No sé si con MKCERT se puede, pero si habilitas la autoridad de certificación de Windows Server, sí que te deja añadir más de un dominio al mismo certificado. Esto solo hace falta si necesitas conectarte unas veces por la VPN y otras por ddns. Si te vas a conectar siempre por ddns, basta con que generes el certificado para dominio.ddns.net.
    miércoles, 1 de marzo de 2017 18:45
  • Crea el certificado utilizando  nombre de subjeto alternativos, como es privado puedes agregar los nombres que quieras. https://technet.microsoft.com/es-cl/library/ff625722(v=ws.10).aspx?f=255&mspperror=-2147217396

    Para que en ambas maquinas confíen en el certificado privado, debes instalar el certificado de la CA en cada maquina que vayas a utilizar.

    jueves, 2 de marzo de 2017 17:43