terça-feira, 30 de novembro de 2010

Siga-nos no Twitter!!!


Pessoal, criamos um Twitter para indexação de Links para novas postagens no Blog,  Eventos, Cursos, Podcasts, Livros e etc..

O nosso endereço é twitter.com/blogcomutadores

Mas se você não possui um Twitter, crie uma página no site e entenda o gosto dos usuários pelo Microblog.

Em bate-papo informal, percebo que boa parte dos Administradores de Rede não se importam com as Redes Sociais como por exemplo o MySpace, Facebook e o Twitter. Sobra alguma atenção apenas para o LinkedIn por razões profissionais e o Orkut pelos parentes e amigos vinculados a página.

Para quem desejar entender melhor sobre o Twitter eu indico um Podcast muito bacana da Cisco do Projetos Quintas Quinze com o Título: Oficina de Twitter . O Video é bastante explicativo sobre o funcionamento do site e a importante interação dos usuários de forma social/profissional!!

Acessem a página : http://www.cisco.com/web/BR/eventos/index.html  e clique na opção Especiais. É necessário instalar o player para visualizar o vídeo localmente ( incluindo liberação da página do Youtube no proxy para uma chamada que o video Oficina de Twitter faz)

E você, qual a sua relação com as redes sociais?
Abraços a Todos

quinta-feira, 25 de novembro de 2010

Switches 3Com 7900 - Configurando acesso HTTPS com Servidor CA (Windows Server 2003)

O post de hoje foi encaminhado pelo Douglas Jefferson com um "How to" para configuração de acesso HTTPS no Switch 3Com 7900 utilizando um Servidor CA com o Windows Server 2003.

Aproveitem as dicas....

Durante a instalação do CA verifique se o Windows será um MemberServer ou se estará fora do Domínio. No exemplo listado nesse tutorial, o Servidor estará fora do domínio, pois nos passos a frente na instalação da CA(Certificate Authority) há diferenças em qual CA criar(Enterprise, StandAlone , SubAuthority Root CA) e quais grupos devem ter permissões.

OBS.: Certifique-se de instalar na sequencia do tutorial. Se porventura for instalado primeiro a CA e em seguinda IIS você terá que saber colocar os códigos da aplicação da CA no diretório "Home Directory" do IIS, normalmente em "%windir%\inetpub\wwwroot".


Instalar Componente do Windows como Web Server Microsoft IIS (NNF)

  1. Certificar de que o CD/ISO de instalação está disponível, porque será solicitado.
  2.  Clique em “Iniciar >Painel de Controle>Instalar e Remover Programas”, do lado esquerdo, terceira opção, de cima para baixo “Componentes do Windows”, assinale somente a opção do IIS (Internet Information Service) e clique em Detalhes, para certificar de que todas as opções estão assinaladas.
  3. Verificar se o serviço está escutando a porta 80 padrão.
  4. Testar pelo CMD com “netstat” e Web Browser local “http://IP_do_IIS/”.
Instalar Componente do Windows como CA (NNF)
  1. Repita Passo 2B mas no lugar de IIS assinale “Certificate Authority” e para este Windows 2003 Server Standard Edition fora do domínio (não Member Server) somente aparecerá "StandAlone Root CA" (NNF), com usuário Administrador local.
Fontes:
http://www.petri.co.il/install_windows_server_2003_ca.htm
http://technet.microsoft.com/en-us/library/cc875810.aspx
  1. Verificar se o serviço está em pleno funcionamento, averiguando se há possibilidade de gerar certificados via interfaceWeb. Link: http://192.168.100.40/certsrv/
Se esse link mostrar a interface Web da administração da CA, OK!

Se  NÃO verificar instalação, passos anteriores.

  1. O Windows 2003 Servers não tem suporte ao protocolo SCEP por padrão (Simple Certificate Enrollment Protocol, created by Cisco System), assim precisamos instala-lo (NNF).
 http://www.microsoft.com/downloads/en/details.aspx?familyid=9f306763-d036-41d8-8860-1636411b2d01&displaylang=en

OBS.: Será solicitado informações sobre a RA (switch 3Com 7900) no final da instalação do programa, como Hostname, Cidade, Estado , Tipo de Cifra e Certificado. Se a CA estiver instalada, o que aparecer Negritado é o que ele reconheceu como padrão da CA em uso, se tiver dúvidas mantenha o que ele identificou.

  1. Após instala-lo estará disponível a interface via Web para solicitações de certificados, assim nos possibilitando configurar os equipamentos da rede.
Interface Enrollment para equipamentos de rede Link: http://192.168.100.40/certsrv/mscep/mscep.dll

  1. Na instalação do programa que foi baixado no site da Microsoft (protocolo SCEP) a CA cria 2 certificados para a entidade RA (switch), então vamos verificar se está tudo OK. Navegue em Iniciar > Painel de Controle > Ferramentas Administrativas > Certificate Authority Expandir em Certificate Authority  > CA > Issued Certificates, verificar se existem 2 certificados devidamente criados, se “OK” siga em frete. Se “NÃO” verifique passos anteriores.
  2. Ainda dentro da seção "Certificate Authority", clique com o botão direto na "CA > Properties" Em seguida na aba "Policy Module > Properties", novamente, e selecione a opção "Follow de settings in the certificate template, if........." Será solicitado que você reinicie o serviço da CA (Apply/OK), faça-o.
  3. Agora vá em “Iniciar-->Painel de Controle-->Ferramentas Administrativas-->IIS” Expandir em “Server(Local)-->Web Sites-->Default Web Site”, verifique se os serviços "Certsrv","CertControl" e "CertEnroll" estão disponíveis. Se quiser trocar o caminho padrão sinta-se avontade (clique com o botão direito do mouse em "Default Web Site-->Home Directory-->LocalPath").
Configurando o Switch

Configurando o equipamento da rede (switch 3Com 7900 CORE, ou qualquer que suporte PKI/SSL) para solicitações de certificados a CA.
 pki entity AAA
common-name SW_CORE
quit
#
pki domain CLIENTEX
ca identifier SERVIDOR
#
certificate request url http://192.168.100.4/certsrv/mscep/mscep.dll
certificate request from ra
certificate request entity AAA
crl url http://192.168.100.4/CertEnroll/IMC.crl
quit
#
pki retrieval-certificate ca domain CLIENTEX

(Y/N):y
#
pki retrieval-crl domain CLIENTEX
#

OBS.:
Para saber a senha do desafio (Challenge Password), abra seu navegador com o link http://IP_do_IIS/certsrv/mscep/ , será solicitado um usuário e senha para autenticação, esse usuário é o que instalou o programa que da suporte ao protocolo SCEP (no meu caso Administrator), após autenticado você será redirecionado para a tela que conterá o "Ca Certificate ThumbPrint" e "Challenge Password"(port 60 minutos)


Faz a requisição do certificado e o armazena.

#
pki request-certificate domain CLIENTEX Challenge_Password

#
pki request-certificate domain CLIENTEX 7F4C5A740C78B06D


Lista o certificado importado.
#
display pki certificate local domain CLIENTEX


Cria o dominio SSL com as especificações dessa seção. CLIENTEX-SSL
#
ssl server-policy CLIENTEX-SSL

pki-domain CLIENTEX
client-verify enable
quit
#

Associa o dominio SSL ao servidor HTTPS
#
ip https ssl-server-policy CLIENTEX-SSL


Habilita o Servidor HTTPS
#
ip https enable


Restringe o acesso às Redes contidas na ACL de número 2000
#
ip https acl 2000


Feito todos os passos acima com sucesso, precisaremos solicitar um certificado para o navegador da máquina que vamos utilizar para acessar a interface Web do Switch CORE, seguindo os passos abaixo:

Abra o navegador e digite o seguinte link http://192.168.100.40/certsrv/


Clique em "Request a Certificate"

Clique em "Web Browser Certificate"
 
Preencha os campos em clique em "Submit"


Aparecerá uma mensagem "This Web site is requesting a new certificate.........", clique em "YES".

Em seguida clique no link "Install This Certificate".

Será instalado no seu navegador, assim você estará apto a acessar com seu navegador a página de administração do switch de forma segura (SSL).

Agora basta acessar o IP do Switch em seu Browser de preferência....

Se desejar verificar o handshake/transações PKI e/ou SSL, habilite o debug


a. Debug ssl
b. Debug pki

Espero que tenham gostado, abraços a todos!!!