Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 3217 views
  • Users 0 members are here
Options
Suggested

[9.190][ANSWERED] Custom Web Proxy Certificate for End-Users not working

asg_user
At Web Protection > Filtering Options > Misc > Certificate for End-User Pages
you can upload a trusted certificate, which will be presented to the user in the web proxy blockpages.

You have to enter a hostname there and choose a certificate. 

1. Why do you have to enter a hostname? The hostname should be extracted from the certificate.

2. The hostname isn't correctly written to the blockpages e.g. if you enter "fw1.domain.demo" as hostname, 
   then the blockpage links the css and images files to "passthrough.fw1.domain.demo". Here are the first lines of the blacklist blockpage:


  
    
    Content blocked
    
    
  
  
    

    

      
      


      

        
        

Content blocked



        

          
While trying to retrieve the URL:

  
  
Regards,
Marco
Parents
  • 0
    In the "Certificate for End-User Pages" configuration the "hostname" is the base domain name of the UTM, not the specific hostname that you want to use for passthrough.  The utm will automatically tack on passthrough. (for IPv4) or passthrough6 (for IPv6).

    In your case the certificate should be either be for passthrough.domain.demo or (more commonly) it should be a wildcard certificate for *.domain.demo.

    Please remember that we need two final hostnames (ipv4 and ipv6) so rather than have the user specific both we just have them specify the base.

    We could potentially extract the hostname from the certificate - but if the certificate has a Common Name and multiple Subject Alternate Names which one should we choose?  We decided to keep the logic simple and let the admin do the extra 10 seconds of work typing it in.

    Please note that if if you you are doing your own DNS, you must create an entry on your DNS server for:
    passthough.[hostname configured for custom certificate] at 213.144.15.19
    passthough6.[hostname configured for custom certificate] at 2a01:198:200:680::8080

    Unfortunately this feature is not yet documented in help.
  • 0 in reply to Michael Dunn
    Hi Michael,

    thanks for clarifying. A certificate for the hostname passthrough.domain.demo and the entered hostname domain.demo works as intended.

    > Unfortunately this feature is not yet documented in help. 

    Thats really needed here. 

    >We could potentially extract the hostname from the certificate - but if the certificate has a Common Name and multiple Subject Alternate Names which one should we choose? 

    Maybe after saving the setting, the webadmin frontend should warn/deny if passthrough.[domainpart of the custom certificate] and not one of the extracted names from the certificate match.
Reply
  • 0 in reply to Michael Dunn
    Hi Michael,

    thanks for clarifying. A certificate for the hostname passthrough.domain.demo and the entered hostname domain.demo works as intended.

    > Unfortunately this feature is not yet documented in help. 

    Thats really needed here. 

    >We could potentially extract the hostname from the certificate - but if the certificate has a Common Name and multiple Subject Alternate Names which one should we choose? 

    Maybe after saving the setting, the webadmin frontend should warn/deny if passthrough.[domainpart of the custom certificate] and not one of the extracted names from the certificate match.
Children
No Data
Unfiltered HTML