Kann importierte CA bei TLS nicht auswählen

Question

Hallo, 
 
 ich versuche diese Anleitung zu machen: 
 https://community.sophos.com/kb/en-us/123036 
 https://community.sophos.com/kb/en-us/123273 
 Ich habe bei Lets Encrypted das Intermediate Certificates heruntergeladen und diese in der XG importiert. Das klappt auch ohne Fehlermeldung. Wenn ich aber auf TLS gehe um dort ein Zertifikat auszuw&auml;hlen, bekomme ich dieses CA Zertifikat nicht angezeigt. Was machen ich falsch?

TheBalmasque · Answer

Hallo, 
 hast du dein Zertifikat auch mit privatem Schl&uuml;ssel hochgeladen? Die XG-Firewall muss n&auml;mlich &uuml;ber den privaten Schl&uuml;ssel verf&uuml;gen, damit du das Zertifikat uneingeschr&auml;nkt verwenden kannst. 
 Schau mal in diesem Thread: 
 https://community.sophos.com/products/xg-firewall/f/initial-setup/103274/replace-https-scanning-certificate-authority-ca 
 
 Ich hoffe ich konnte dir weiterhelfen. [;)]

LuCar Toni · Answer

Hi, 
 Du bekommst von Lets Encrypted kein CA mit Privat Key, um HTTPs Scanning durchzuf&uuml;hren. 
 Solltest du sowas bekommen, k&ouml;nnen wir auch mit HTTPs im Internet aufh&ouml;ren, da wir eine Sicherheitsl&uuml;cke h&auml;tten. 
 HTTPs Scanning erfordert ein Self Signed CA, dass man "importiert" in die Clients. 
 Sonst k&ouml;nntest du, ohne das es jemand mitbekommen, den Traffic von allen Clients der Welt auslesen und jeder w&uuml;rde deiner Appliance vertrauen, da er lets Encrypted vertraut. 
 Hoffe das ist verst&auml;ndlich. 
 
 *edit* 
 Ich habe deine eine Antwort &uuml;berlesen mit Email. 
 Daf&uuml;r ben&ouml;tigst du das Lets Encrypted Certificate mit privat Key, kein CA. Den Privat Key solltest du von LE bekommen, dann einfach die Datei in *.key umbenennen und dabei importieren. Ohne Key File taucht die auch nicht unter Email auf. 
 
 Gru&szlig;

LuCar Toni · Answer

Hi, 
 leider ist der Punkt etwas irref&uuml;hrend. 
 Die XG besitzt zwei Modi - Legacy und MTA f&uuml;r Email. 
 Der legacy mode unterbricht die Port 25 Kommunikation von Client zum Server. Ist diese SSL/TLS verschl&uuml;sselt, ben&ouml;tigt man ein CA Certificat. Das CA wird verwendet, um Server im Internet zu "imitieren", bedeutet smtp.gmail.com etc. 
 Der MTA Mode arbeitet als MTA. Somit ben&ouml;tigt dieser nur ein Certificat, dass er der Gegenseite Port 25 pr&auml;sentiert. Baut man eine Verbindung Port 25 zur XG im MTA Mode auf, kommt ein mta.xg.de beispielsweise. Daf&uuml;r ben&ouml;tigt man dann ein Certificate. 
 Daher steht auch klein "im MTA Mode Certificate, im Legacy Mode CA". 
 
 Gehen wir nun davon aus, was oben steht: Lets Encrypted wird dir ein CA / Wildcard f&uuml;r deine Domain ausstellen - *.domain.de. Somit kannst du damit XG.domain.de etc ausstellen. Jedoch nicht smtp.gmail.com. 
 Hoffe das ist verst&auml;ndlich.