Kann importierte CA bei TLS nicht auswählen

Hallo,

konntest du inzwischen eine Lösung herarbeiten? Zu welchem Zweck möchtest du das Zertifikat verwenden ? 

Grüße

Hallo,

leider nicht. Ich habe das Thema erstmal bei Seite gelegt. Hast Du eine Lösung?

Ich wollte das meine E-Mails von der Sophos gescannt werden. Hierzu muss ja die Sophos die Mails entschlüsseln und nach dem Scan wieder verschlüsseln. Dann hat es aber das Zertifikat der Sophos, nicht das des Providers. Und dafür benötige ich es

Hallo,

hast du dein Zertifikat auch mit privatem Schlüssel hochgeladen? Die XG-Firewall muss nämlich über den privaten Schlüssel verfügen, damit du das Zertifikat uneingeschränkt verwenden kannst.

Schau mal in diesem Thread:

https://community.sophos.com/products/xg-firewall/f/initial-setup/103274/replace-https-scanning-certificate-authority-ca

Ich hoffe ich konnte dir weiterhelfen. [;)]

Hi,

Du bekommst von Lets Encrypted kein CA mit Privat Key, um HTTPs Scanning durchzuführen. 

Solltest du sowas bekommen, können wir auch mit HTTPs im Internet aufhören, da wir eine Sicherheitslücke hätten. 

HTTPs Scanning erfordert ein Self Signed CA, dass man "importiert" in die Clients. 

Sonst könntest du, ohne das es jemand mitbekommen, den Traffic von allen Clients der Welt auslesen und jeder würde deiner Appliance vertrauen, da er lets Encrypted vertraut. 

Hoffe das ist verständlich. 

*edit* 

Ich habe deine eine Antwort überlesen mit Email. 

Dafür benötigst du das Lets Encrypted Certificate mit privat Key, kein CA. Den Privat Key solltest du von LE bekommen, dann einfach die Datei in *.key umbenennen und dabei importieren. Ohne Key File taucht die auch nicht unter Email auf. 

Gruß

Ich habe ja ein Lets Encrypted Zertifikat welches ich über Certbot erstellt habe. Und nutze dies auch erfolgreich. Wenn ich meine Webseite ansurfe wird das Zertifikat angezeigt etc... Aber genau dieses kann ich nicht auswählen in den Einstellungen für TLS Scan. Es wird nicht angezeigt. 

Über welches TLS Scan sprechen wir genau? 

Könntest du mir einen Screenshot zeigen? 

SSL Inspection funktioniert mit keinem Lets Encrypted Zertifikat (HTTPs / SMTPs / POP3s / IMAPs inkludiert). 

Der Hintergrund ist, dass du eine CA benötigst, die Domäne X ausstellen kann. Das X steht für die Ziel Domäne (beispielsweise imap.gmail.com). 

Das können nur self signed CAs. 

Gruß 

Bin gard auf Arbeit,

aber ist der gleiche Screenshot wie in kb123273 zu sehen ist. Also wenn ich dich richtig verstehe kann das nur von mir selbst erzeugt werden? Aber ist das nicht irgendwie schwachsinn? Also kann ich mir in der XG doch glatt selbst eins erzeugen und dieses dann verwenden? Glaub ich hab jetzt ein Knoten im Hirn ;)

Hi,

leider ist der Punkt etwas irreführend.

Die XG besitzt zwei Modi - Legacy und MTA für Email.

Der legacy mode unterbricht die Port 25 Kommunikation von Client zum Server. Ist diese SSL/TLS verschlüsselt, benötigt man ein CA Certificat. Das CA wird verwendet, um Server im Internet zu "imitieren", bedeutet smtp.gmail.com etc. 

Der MTA Mode arbeitet als MTA. Somit benötigt dieser nur ein Certificat, dass er der Gegenseite Port 25 präsentiert. Baut man eine Verbindung Port 25 zur XG im MTA Mode auf, kommt ein mta.xg.de beispielsweise. Dafür benötigt man dann ein Certificate. 

Daher steht auch klein "im MTA Mode Certificate, im Legacy Mode CA". 

Gehen wir nun davon aus, was oben steht: Lets Encrypted wird dir ein CA / Wildcard für deine Domain ausstellen - *.domain.de. Somit kannst du damit XG.domain.de etc ausstellen. Jedoch nicht smtp.gmail.com. 

Hoffe das ist verständlich. 

Kann Dir leider nicht ganz folgen. Wenn ich das Zertifikat aber nicht von Lets Encrypted austellen lasse, sondern das Zertifikat selber mit der Sophos erstelle dann kann ich dieses selbst erstellte (smtp.meine-domian.de) dort hinterlegen, oder?

Das ist korrekt.

Jedoch - Wofür möchtest du das Certificate dort nutzen? 

Also aus welchem Grund möchtest du das dort austauschen? Vielleicht finden wir so schneller die Lösung.

Möchtest du den Legacy Mode der XG verwenden für Port 25? 

Ok, ich sagen mal was ich vorhabe. Meine Emails laufen auf einem Externen Server / Hoster wo ich meine Domain habe. Privat Daheim habe ich eine DMZ in der ein Server läuft und der quasi als Webif fungiert (Open X Change). In diesem werden die Emails per imap angezeigt. Ebenso Outlook im Netzwerk. Die greifen auch per IMAP zu. Meine Idee war es, das die Mails vor dem Senden (über smtp.) und dem Empfang von der Sophos XG gescannt werden. Da alles verschlüsselt läuft muss ich ja ein Zertifikat hinterlegen. Hoffe Du verstehst welches problem ich habe, oder habe ich da ein Denk Fehler?

P.s. ich arbeite mit den Ports 465 / 993

Hallo,

dann würde ich ein Self Signed CA verwenden, dieses exportieren und auf dem Server importieren. Dann sollte der Trust weiterhin funktionieren und die Appliance macht den Man-in-the-middle Eingriff.

Gruß

Hallo,

dann würde ich ein Self Signed CA verwenden, dieses exportieren und auf dem Server importieren. Dann sollte der Trust weiterhin funktionieren und die Appliance macht den Man-in-the-middle Eingriff.

Gruß