Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 3215 views
  • Users 0 members are here
Options
Suggested

[9.190][ANSWERED] Custom Web Proxy Certificate for End-Users not working

asg_user
At Web Protection > Filtering Options > Misc > Certificate for End-User Pages
you can upload a trusted certificate, which will be presented to the user in the web proxy blockpages.

You have to enter a hostname there and choose a certificate. 

1. Why do you have to enter a hostname? The hostname should be extracted from the certificate.

2. The hostname isn't correctly written to the blockpages e.g. if you enter "fw1.domain.demo" as hostname, 
   then the blockpage links the css and images files to "passthrough.fw1.domain.demo". Here are the first lines of the blacklist blockpage:


  
    
    Content blocked
    
    
  
  
    

    

      
      


      

        
        

Content blocked



        

          
While trying to retrieve the URL:

  
  
Regards,
Marco
  • 0
    Your HTTP proxy is running in transparent mode, right?

    Do you get the wrong certificate also if you use it in standard mode?

    Regards,
    mlenk
  • 0 in reply to mle
    Yes the proxy is in transparent mode. 

    If i change to standard mode then the links on the blockpage remains the same.

    The issue is the wrong hostname in the templates for the blockpage e.g.
    the unblock link is:

    https://passthrough.fw1.domain.demo/static/auth_override.html?category=132&...

    So if you click the link then you'll get the right certificate, which was choosen in WebAdmin but the hostname in the link has to be fw1.domain.demo (see attached image).

    Regards,
    Marco
  • 0
    In the "Certificate for End-User Pages" configuration the "hostname" is the base domain name of the UTM, not the specific hostname that you want to use for passthrough.  The utm will automatically tack on passthrough. (for IPv4) or passthrough6 (for IPv6).

    In your case the certificate should be either be for passthrough.domain.demo or (more commonly) it should be a wildcard certificate for *.domain.demo.

    Please remember that we need two final hostnames (ipv4 and ipv6) so rather than have the user specific both we just have them specify the base.

    We could potentially extract the hostname from the certificate - but if the certificate has a Common Name and multiple Subject Alternate Names which one should we choose?  We decided to keep the logic simple and let the admin do the extra 10 seconds of work typing it in.

    Please note that if if you you are doing your own DNS, you must create an entry on your DNS server for:
    passthough.[hostname configured for custom certificate] at 213.144.15.19
    passthough6.[hostname configured for custom certificate] at 2a01:198:200:680::8080

    Unfortunately this feature is not yet documented in help.
  • 0 in reply to Michael Dunn
    Hi Michael,

    thanks for clarifying. A certificate for the hostname passthrough.domain.demo and the entered hostname domain.demo works as intended.

    > Unfortunately this feature is not yet documented in help. 

    Thats really needed here. 

    >We could potentially extract the hostname from the certificate - but if the certificate has a Common Name and multiple Subject Alternate Names which one should we choose? 

    Maybe after saving the setting, the webadmin frontend should warn/deny if passthrough.[domainpart of the custom certificate] and not one of the extracted names from the certificate match.
  • 0
    Early Draft Documentation:

    Certificate for End-User Pages

    The UTM uses HTTPS to provide user notification, perform browser authentication and secure other user interactions. The UTM will use a self-signed certificate using the Certificate Authority configured under HTTPS CAs > Signing CA when redirecting a user from an HTTPS page to an internal page and while displaying internal pages (eg block page, authentication).  If the user’s browser does not trust the Signing Authority then they will get a certificate warning from their browser.  If you wish you can use your own certificate (for example one that the clients already trust) instead for the internal page display.  The internal pages are normally hosted on a UTM-intercepted page called passthough.fw-notfy.net (passthrough6.fw-notify.net for IPv6).  This changes the domain to one that you have a certificate for.
    Note: HTTPS redirection pages must still use the Signing Authority because they must appear to be signed by the site the user is being redirected from.

    To use your own custom certificate for these HTTPS connections, first upload it using Remote Access > Certificate Management > Certificates.  Then under “Certificate for End-User Pages” select the certificate.  In the hostname field, enter in the hostname that will be used as the base domain name for the passthrough and passthrough6 hosts (eg do not include the “passthrough” part of the hostname).

    Note: The certificate must be valid for passthrough.[ hostname].  This is normally done with a wildcard certificate but can also be done with a certificate that has an matching Common Name or Subject Alternative Name.  If using IPv6 it must also be valid for passthrough6.[hostname].

    The new passthrough.[hostname] must resolve to the same IP address as passthrough.fw-notify.net.  There will be two host network objects automatically created under “Definitions and Users” which will allow any computer using the UTM as a DNS server to resolve those addresses.  If you are using your own DNS server you will need to configure the following two addresses:
    213.144.15.19  passthrough.[hostname]
    2a01:198:200:680::8080 passthrough6.[hostname]
Unfiltered HTML