[8.920][ANSWERED] HTML VPN and SSL Issues. (Multiple but related)

Hi sjorge,

thank you for your input.

You are talking about a Https Application (secure Webapp), I guess.
There is the option to prefetch the certificate in Webadmin.
But due to the update to Firefox 11.0 this feature is broken at the moment,
but we will fix that soon via a pattern update.

But there are still some restrictions concerning the cert.
The hostname entered in HTML5 VPN connection needs to match exactly the CN name. If you use a Host-object instead of a DNS-Host-object, make sure that your self signed certificate contains that IP address as a "Subject Alternative Name" to avoid the certificate warning in the portal-browser.

Importing a CA is something we haven't planned to support, would that
give any additional value over importing only the specific server cert?

Cheers,
Nils

Hi sjorge,

thank you for your input.

You are talking about a Https Application (secure Webapp), I guess.
There is the option to prefetch the certificate in Webadmin.
But due to the update to Firefox 11.0 this feature is broken at the moment,
but we will fix that soon via a pattern update.

But there are still some restrictions concerning the cert.
The hostname entered in HTML5 VPN connection needs to match exactly the CN name. If you use a Host-object instead of a DNS-Host-object, make sure that your self signed certificate contains that IP address as a "Subject Alternative Name" to avoid the certificate warning in the portal-browser.

Importing a CA is something we haven't planned to support, would that
give any additional value over importing only the specific server cert?

Cheers,
Nils

1. Indeed importing the CA has not much benefit over importing the server certificates separately. The only benefits I see is that you have to add less certs. Additionally if the server certificates gets resigned a lot (short valid time) you don't need to re-import them each time.

2. However what you describe doesn't solve the client certificate problem though.

2. However what you describe doesn't solve the client certificate problem though.

As I stated - since the FF update it's broken. We will roll out the fix via pattern u2d soon, I'll let you know when it's supposed to work.

Nils

Hi sjorge,

since your post describes another problem than your initial one, I copied it to a new thread, which is located here.

Cheers,
Cristof

Hi sjorge,

since your post describes another problem than your initial one, I copied it to a new thread, which is located here.

Cheers,
Cristof

Oops, that was an error on my part. That should have gone in a new thread. I was wondering why I didn't find it again. [:O]

As I stated - since the FF update it's broken. We will roll out the fix via pattern u2d soon, I'll let you know when it's supposed to work.

Nils

Fixed via 8.930 and pattern update.

Partially fixed, it does indeed not complain about the certificate being invalid.

However I still cannot add a client certificate to the browser for 2 way SSL authentication. Maybe this should be a separate thread also?

Partially fixed, it does indeed not complain about the certificate being invalid.

However I still cannot add a client certificate to the browser for 2 way SSL authentication. Maybe this should be a separate thread also?

Sorry I don't get it.
The FF running on ASG does not complain about the cert being invalid, right?
So which client cert you can't add to which browser in order to do 2 way SSL auth?

Nils

Hi Nkoenig,

My backend server uses 2-way SSL (Also called Mutual SSL).
Both the server and the client provide a certificate to each other.
The client will validate the server against a CA, the server will validate the client against the same CA.

If both are valid, it is assume that both parties are who they say the are.

Mutual authentication - Wikipedia, the free encyclopedia

So for this to work, the client (firefox) also has to have it's own certificate to present to the server.

For now the connections still fails, not because the server isn't trusted.
But because the client (firefox in this case) does not have any certificates to present to the server.

So for this to work, the client (firefox) also has to have it's own certificate to present to the server.

For now the connections still fails, not because the server isn't trusted.
But because the client (firefox in this case) does not have any certificates to present to the server.

Thanks for making that clear.
To me this seems to be a new feature because you need to fetch the server
cert (as it is possible now) and import an additional cert for the browser to
present to the server. 

This is not possible at the moment, may I kindly ask you to go to
Astaro Security Gateway Feature Requests: Hot (1010 ideas)
and open a new feature request if this is something you really can't live without? [;)]

Thanks for making that clear.
To me this seems to be a new feature because you need to fetch the server
cert (as it is possible now) and import an additional cert for the browser to
present to the server. 

This is not possible at the moment, may I kindly ask you to go to
Astaro Security Gateway Feature Requests: Hot (1010 ideas)
and open a new feature request if this is something you really can't live without? [;)]

I can live without this, but maybe this should be documented somewhere that it won't work.