Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 3216 views
  • Users 0 members are here
Options
Suggested

[9.190][ANSWERED] Custom Web Proxy Certificate for End-Users not working

asg_user
At Web Protection > Filtering Options > Misc > Certificate for End-User Pages
you can upload a trusted certificate, which will be presented to the user in the web proxy blockpages.

You have to enter a hostname there and choose a certificate. 

1. Why do you have to enter a hostname? The hostname should be extracted from the certificate.

2. The hostname isn't correctly written to the blockpages e.g. if you enter "fw1.domain.demo" as hostname, 
   then the blockpage links the css and images files to "passthrough.fw1.domain.demo". Here are the first lines of the blacklist blockpage:


  
    
    Content blocked
    
    
  
  
    

    

      
      


      

        
        

Content blocked



        

          
While trying to retrieve the URL:

  
  
Regards,
Marco
Parents
  • 0
    Early Draft Documentation:

    Certificate for End-User Pages

    The UTM uses HTTPS to provide user notification, perform browser authentication and secure other user interactions. The UTM will use a self-signed certificate using the Certificate Authority configured under HTTPS CAs > Signing CA when redirecting a user from an HTTPS page to an internal page and while displaying internal pages (eg block page, authentication).  If the user’s browser does not trust the Signing Authority then they will get a certificate warning from their browser.  If you wish you can use your own certificate (for example one that the clients already trust) instead for the internal page display.  The internal pages are normally hosted on a UTM-intercepted page called passthough.fw-notfy.net (passthrough6.fw-notify.net for IPv6).  This changes the domain to one that you have a certificate for.
    Note: HTTPS redirection pages must still use the Signing Authority because they must appear to be signed by the site the user is being redirected from.

    To use your own custom certificate for these HTTPS connections, first upload it using Remote Access > Certificate Management > Certificates.  Then under “Certificate for End-User Pages” select the certificate.  In the hostname field, enter in the hostname that will be used as the base domain name for the passthrough and passthrough6 hosts (eg do not include the “passthrough” part of the hostname).

    Note: The certificate must be valid for passthrough.[ hostname].  This is normally done with a wildcard certificate but can also be done with a certificate that has an matching Common Name or Subject Alternative Name.  If using IPv6 it must also be valid for passthrough6.[hostname].

    The new passthrough.[hostname] must resolve to the same IP address as passthrough.fw-notify.net.  There will be two host network objects automatically created under “Definitions and Users” which will allow any computer using the UTM as a DNS server to resolve those addresses.  If you are using your own DNS server you will need to configure the following two addresses:
    213.144.15.19  passthrough.[hostname]
    2a01:198:200:680::8080 passthrough6.[hostname]
Reply
  • 0
    Early Draft Documentation:

    Certificate for End-User Pages

    The UTM uses HTTPS to provide user notification, perform browser authentication and secure other user interactions. The UTM will use a self-signed certificate using the Certificate Authority configured under HTTPS CAs > Signing CA when redirecting a user from an HTTPS page to an internal page and while displaying internal pages (eg block page, authentication).  If the user’s browser does not trust the Signing Authority then they will get a certificate warning from their browser.  If you wish you can use your own certificate (for example one that the clients already trust) instead for the internal page display.  The internal pages are normally hosted on a UTM-intercepted page called passthough.fw-notfy.net (passthrough6.fw-notify.net for IPv6).  This changes the domain to one that you have a certificate for.
    Note: HTTPS redirection pages must still use the Signing Authority because they must appear to be signed by the site the user is being redirected from.

    To use your own custom certificate for these HTTPS connections, first upload it using Remote Access > Certificate Management > Certificates.  Then under “Certificate for End-User Pages” select the certificate.  In the hostname field, enter in the hostname that will be used as the base domain name for the passthrough and passthrough6 hosts (eg do not include the “passthrough” part of the hostname).

    Note: The certificate must be valid for passthrough.[ hostname].  This is normally done with a wildcard certificate but can also be done with a certificate that has an matching Common Name or Subject Alternative Name.  If using IPv6 it must also be valid for passthrough6.[hostname].

    The new passthrough.[hostname] must resolve to the same IP address as passthrough.fw-notify.net.  There will be two host network objects automatically created under “Definitions and Users” which will allow any computer using the UTM as a DNS server to resolve those addresses.  If you are using your own DNS server you will need to configure the following two addresses:
    213.144.15.19  passthrough.[hostname]
    2a01:198:200:680::8080 passthrough6.[hostname]
Children
No Data
Unfiltered HTML