RemoteApp 1C домен и сертификаты пользователя, как все это подружить? — Хабр Q&A

RemoteApp 1C домен и сертификаты пользователя, как все это подружить? — Хабр Q&A Сертификаты
На чтение 3 мин. Просмотров 2 Опубликовано

Remoteapp 1c домен и сертификаты пользователя, как все это подружить?

Имеем домен с поднятой службой сертификации, пользователям выдан сертификат, который используется для подписи внутренних документов в 1С. Все работает, но возникла проблема, пользователи которые используют 1С через RemoteApp не могут подписать документ пока их сертификат не импортируется на сервере RemoteApp. Получается необходимо сначала экспортировать сертификат с их машины (а если он помечен как не экспортируемый то вообще тупик) а потом заходить под их учетной записью на сервер RemoteApp и импортировать сертификат, что очень неудобно, так как таких пользователей планируется приличное количество…

Вопрос, как не используя certutil и им подобные распространить сертификат и на сервер 1С? Или как можно заставить 1С запущенную через RemoteApp увидеть сертификат установленный на машине пользователя?
Все машины и сервера в домене.

Особенности использования remoteapp и сертификатов

Немного предыстории. В этом году делали решение по удаленному доступу к приложениям. Основа сделана на базе двух лезвий IBM HS22 для Blade Center H, куда были установлены Microsoft Hyper-V Server с высокой доступностью. Само же решение, базируется на Microsoft Remote Desktop Services (Windows Server 2008 R2). Для развертывания последнего использовались несколько серверов, на одном был установлен Remote Desktop Connection Brocker, Remote Desktop Licensing и Web Access, еще на одном был установлен Remote Desktop Gateway, еще один был задействован как член фермы Remote Desktop Session Host. Подразумевается, что в будущем в ферме будет несколько серверов. Плюс ко всему, все это публикуется наружу с помощью существующего сервера с установленной ISA 2006

Т.к. подразумевалось, что к некоторым приложениям доступ будет и “снаружи” , причем не только с доменных компьютеров, то захотелось все это сделать с “правильными” сертификатами. Тем более, что сертификат у нас уже был куплен.

Про сертификаты:  Как понять, что вы пользуетесь настоящим Сбербанком - проверка сертификата банка Тарифкин.ру

Есть такая интересная израильская контора StartSSL. У них можно вполне за вменяемые деньги получить честные сертификаты, причем оплата идет не за их количество, а за количество подтвержденных данных. Т.о., за $120 можно получить их много.

В общем, все настроили и все вроде как заработало. Но, при запуске в продакшен, столкнулись с интересной проблемой. Регулярно, пользователи, при попытке запуска приложения, получали ошибку: This computer can’t connect to the remote computer.

RemoteAPP disconnected

Самое интересное состоит в том, что найти следы этой ошибки не удалось ни на клиенте, ни на серверах, имеющих отношение к Remote Desktop! И если бы это было стабильно, но нет же – то запускается, то нет и системы в этом никакой. И чего мы только не пробовали 🙂

Ну а в конце концов, посетила меня мысль, что это может быть как-то связано с сертификатом. Когда-то, уже была проблема с установкой SP или кумулятивных обновлений на MS Exchange 2007. Если в процессе установки/запуска не получалось проверить сертификаты, то сервис просто не запускался. В общем, моя догадка оказалось верной, что и подтвердила трассировка. Для решения проблемы оказалось достаточно открыть доступ к серверам startssl:

www.startssl.com 192.116.242.20
DNS3.startcom.org 70.167.227.245
shalom.startcom.org 192.116.242.24

Кстати, нашел интересную страницу с распространенными ошибками, связанными с Remote Desktop – Common WS08 R2 Remote Desktop Services Error Messages

habr qna IT вопросы информационные технологии ответы Хабр Q{amp}amp;A
Оцените статью
Мой сертификат
Добавить комментарий

© 2025 Мой сертификат