Thread Info
  • State Not Answered
  • Replies 16 replies
  • Subscribers 0 subscribers
  • Views 3810 views
  • Users 0 members are here
Options
Suggested

[8.900][MYTH] Clientless VPN Webapp (https) invalid cert warning

adriand
Added a Webapp (HTTPS) Clientless SSL VPN Connection; for OWA 2003.
Defined the destination as Host(IP addr).
Path /exchange/.
Fetched successfully the SSL certificate.
Saved the connection.

Connected to the user portal and clicked the OWA connection; browser was Firefox 10.0.2 or Chrome 17.0.963.5(Windows 7).

The "inner" Firefox throws an invalid cert warning; for the server's name. See the attached screenshot.

But wasn't the fetching process ensure the correct cert is used ?

Did not try yet to use instead of a Host(IP addr) a DNS Host for the destination of the Clientless SSL VPN Connection.

Thanks,
Adrian
Parents
  • 0
    Hey, stay cool.

    I definitely know how SSL works, but i think that we are talking about two totally different things...


    Let me try it one more time:

    The browser which is running on the UTM is a "totally normal" browser, and acts like the browser on your own desktop, right?

    On the target server i have installed a certificate which is valid for "www.myapp.com", OK?

    Now, the browser on the UTM opens the URL "192.168.1.123/whatever" which results in a warning, OK

    Now, if i overwrite (replace) the IP with the hostname i have given in the configuration to match the certificate on the target server, the URL the browser opens results in "www.myapp.com/.../replaced) no warning will be shown because the host in the URL matches the host in the certificate.

    It only changes the URL it opens, as you would do on the browser on your own desktop.
    Access "85.115.22.3/" in your browser, you get a warning as expected.
    Now, "overwrite" the IP with the hostname => "www.astaro.com/" => works fine

    The browser on the UTM isn't doing anything else... Or am i wrong??
  • 0 in reply to UrsWeiss
    Hi,

    Hey, stay cool.


    I'll try... ;-)



    Now, if i overwrite (replace) the IP with the hostname i have given in the configuration ...


    The "name" is a label only. It's only purpose is to help the user to differentiate different things when he is using objects, by providing a human readable, display friendly name. It's easier to refer to "My Mailserver" than to "123.45.67.89".  You can even leave the "name" field empty, which results in an autogenerated name that starts with "REF_". We cannot use this as a DNS name. It's too unreliable and too inconsistent with the rest of the product. To define a host object that is identified by a DNS name, you _HAVE_ to use an dns-host object.

    If you insist on using a Host-Object (which is used to store IP-addresses) instead of a DNS-Host-Object, you still have another option: changing the certificate of the server that you are trying to connect so that it includes the IP-address as an "Subject Alternative Name"

    Or am i wrong??


    Well, in the original post Adrian asked "But wasn't the fetching process ensure the correct cert is used ?". I think we've sorted that out now.

    Later on, you asked "I don't understand why the certificate should become invalid if it overwrites the hostname...". I'm pretty sure that this is the place where the I misunderstood you. Since we were talking about certificates, I assumed that you would like us to overwrite the hostname that is stored in the cert itself, which we both agree isn't possible (or at least isn't feasible).

    I don't see any chance for your idea (using the display name as the hostname) to be considered as feature, but I'll talk to the documentation department and try to get this into the online help, okay? 

    Cheers,
    Kai
Reply
  • 0 in reply to UrsWeiss
    Hi,

    Hey, stay cool.


    I'll try... ;-)



    Now, if i overwrite (replace) the IP with the hostname i have given in the configuration ...


    The "name" is a label only. It's only purpose is to help the user to differentiate different things when he is using objects, by providing a human readable, display friendly name. It's easier to refer to "My Mailserver" than to "123.45.67.89".  You can even leave the "name" field empty, which results in an autogenerated name that starts with "REF_". We cannot use this as a DNS name. It's too unreliable and too inconsistent with the rest of the product. To define a host object that is identified by a DNS name, you _HAVE_ to use an dns-host object.

    If you insist on using a Host-Object (which is used to store IP-addresses) instead of a DNS-Host-Object, you still have another option: changing the certificate of the server that you are trying to connect so that it includes the IP-address as an "Subject Alternative Name"

    Or am i wrong??


    Well, in the original post Adrian asked "But wasn't the fetching process ensure the correct cert is used ?". I think we've sorted that out now.

    Later on, you asked "I don't understand why the certificate should become invalid if it overwrites the hostname...". I'm pretty sure that this is the place where the I misunderstood you. Since we were talking about certificates, I assumed that you would like us to overwrite the hostname that is stored in the cert itself, which we both agree isn't possible (or at least isn't feasible).

    I don't see any chance for your idea (using the display name as the hostname) to be considered as feature, but I'll talk to the documentation department and try to get this into the online help, okay? 

    Cheers,
    Kai
Children
No Data
Cookie Information Banner