Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1064 views
  • Users 0 members are here
Options
Suggested

[8.900][BUG] Clientless SSLVPN - SSL Certificate fetch doesnt work

Jens L.
Hello Astrao...erm..Sophos-Team. [;)]

i configured a https-connection to the webmin-page of my Home-NAS.
if i click the "SSL Certificate - Fetch"  i got the Information "Failed to fetch ssl certificate, please check Destination and Port configuration."

Destination and Port(:10000) are ok, because the configured connection works well if i click the button in the enduser-portal.
I have to acknowledge the self-signed certificate and then i am there.

Is the self-signed certificate the problem or the clientless-ssl-vpn ?

greetings 

Jens L.
Parents
  • 0
    I tested with a self-signed, expired certificate and it was also not fetchable:

    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: depth=0 O = Webmin Software, CN = *
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify error:num=18:self signed certificate
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify return:1
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: depth=0 O = Webmin Software, CN = *
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify error:num=10:certificate has expired
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: notAfter=Oct  3 10:34:50 2007 GMT
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify return:1
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: depth=0 O = Webmin Software, CN = *
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: notAfter=Oct  3 10:34:50 2007 GMT
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify return:1
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: 3074541192:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: failed to retrieve ssl cert

    Another test to an ASG with a self-sign certificate succeeded.

    Regards,
    Marco
Reply
  • 0
    I tested with a self-signed, expired certificate and it was also not fetchable:

    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: depth=0 O = Webmin Software, CN = *
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify error:num=18:self signed certificate
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify return:1
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: depth=0 O = Webmin Software, CN = *
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify error:num=10:certificate has expired
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: notAfter=Oct  3 10:34:50 2007 GMT
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify return:1
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: depth=0 O = Webmin Software, CN = *
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: notAfter=Oct  3 10:34:50 2007 GMT
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: verify return:1
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: 3074541192:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
    2012:03:12-20:02:42 asg-cluster-1 confd[2907]: failed to retrieve ssl cert

    Another test to an ASG with a self-sign certificate succeeded.

    Regards,
    Marco
Children
  • 0 in reply to asg_user
    Hi

    i found the same messages like Marco, but my cert is not expired (2016)

    2012:03:12-21:18:22 Kerberos confd[3003]: depth=0 O = Webmin Webserver on n550, CN = *, emailAddress = root@n550
    2012:03:12-21:18:22 Kerberos confd[3003]: verify error:num=18:self signed certificate
    2012:03:12-21:18:22 Kerberos confd[3003]: verify return:1
    2012:03:12-21:18:22 Kerberos confd[3003]: depth=0 O = Webmin Webserver on n550, CN = *, emailAddress = root@n550
    2012:03:12-21:18:22 Kerberos confd[3003]: verify return:1
    2012:03:12-21:18:22 Kerberos confd[3003]: 3073975944:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:339:
    2012:03:12-21:18:22 Kerberos confd[3003]: failed to retrieve ssl cert

    [EDIT]
    My NAS-Box is a Debian 6 32bit stable with all packages updatet and webmin-1.580.deb from the webmin.com page
    [/EDIT]
  • 0 in reply to Jens L.
    Hi,
    as both of you are trying to connect to a Webmin, this looks like either the SSL configuration or the way that the certificate is generated does not work correctly when we try to connect to the server to fetch the certificate.

    We'll try to reproduce this here by setting up a Webmin locally, but maybe you can also try to configure Webmin differently to get it working.

    Thanks for the feedback!
    Cheers,
     andreas

    EDIT: Actually it wasn't hard to reproduce that here, and it seems that this is not a problem with the certificate at all. It seems that the SSL library used by Webmin does not terminate the session correctly, which always ends in the "wrong version number" error - regardless of certificate used or protocol version enforced. We'll try and see what can be done to fix this. If you have any other server (than Webmin) that you try to connect to, please post here so we can get a feeling for it!
Cookie Information Banner