[9.171][BUG]Own cert for error pages: CSS missing

The intention was that customers who already owned a certificate for their and had it trusted (usually because it was officially signed) would be able to use it in the UTM and therefore not need to install a CA on every computer.  Unfortunately it turns out that even if we use this certificate for passthrough the CA is still needed in many locations.  We hoped it would fix several problems, but it is only a complete solution in one of them.

Therefore this feature is a work in progress, I don't think the 9.170 build will be the final functionality.  And so far, we have no documentation.

In general what you have done is correct.  The StartCom certificate would have to be trusted by the computer you are accessing from.  

The certificate should be created for passthrough.utm.mydomain.com as either a Common Name or it needs to be wildcard *.utm.mydomain.com.  I believe it also allows for a Subject Altername Name.  The wildcard and SAN are not tested yet.

passthrough.utm.mydomain.com needs to be DNS resolvable.  If you are using Transparent Mode and you use the UTM as your DNS server you don't need to do anything.  If you have your own DNS server you need to configure it there.  If you are using Standard Mode I think you don't need to do any DNS.

Browsing to the following two sites should work
http://passthrough.utm.mydomain.com/static/default.css
https://passthrough.utm.mydomain.com/static/default.css

If you get a certificate error - make sure that the StartCom certificate is trusted by the computer you are accessing from.

If it doesn't work, try the raw IP to make sure you don't have a resolving issue
http://1.2.3.4/static/default.css

If you still have trouble, please post the http.log

I might have the solution.

The DNS entry that you create for passthrough.yourdomain must go to 213.144.15.19 not to your utm's IP.

This is the ip address of passthrough.fw-notify.net and the client computer must be trying to get to that IP address.

I know that if you are using the UTM as a DNS server you need to create a Host object, making sure to expand the "DNS Settings" and putting in a hostname and reverse dns.  You may need to do this on the UTM even if the client computer is using a different DNS server.

Hmm. I think a better solution would be to make sure the UTM handles all this stuff transparently for the user. It could auto-create/delete a non-editable DNS-Host-Object for the chosen passthrough.domain so it would resolve to the correct IP. It should just work right out of the box without requiring the user to also do this and that [:)]

BTW: At other places in the UTM like the WAF, the hostname is extracted from the certificate. We could do the same thing here to ease it even more by removing the hostname field.

The transparent creation of Host objects is already in the plan, just not implemented yet.  Customers using their own DNS still need to do this in their other infrastructure.

We'll look at hostname extraction from the cert.  It needs some thought as there is CN, SAN, wildcards, and both passthrough and passthrough6.