Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 1711 views
  • Users 0 members are here
Options
Suggested

[8.920][ANSWERED] HTML VPN and SSL Issues. (Multiple but related)

sjorge
If I publish a application on a backend server using the HTML VPN, it complain that the CA that signed the server is not accepted.

Having a way to add trusted CA's is very much needed!
It would be acceptable if it auto trusted the CA that the certificate manager uses. 

Additionally, I can't get an application that requires client certificates to work.
Not sure how this can even be fixed since they are linked to users [:(]

Maybe I was a bit too hopeful about the capabilities [:S]
Parents
  • 0
    Hi sjorge,

    thank you for your input.

    You are talking about a Https Application (secure Webapp), I guess.
    There is the option to prefetch the certificate in Webadmin.
    But due to the update to Firefox 11.0 this feature is broken at the moment,
    but we will fix that soon via a pattern update.

    But there are still some restrictions concerning the cert.
    The hostname entered in HTML5 VPN connection needs to match exactly the CN name. If you use a Host-object instead of a DNS-Host-object, make sure that your self signed certificate contains that IP address as a "Subject Alternative Name" to avoid the certificate warning in the portal-browser.

    Importing a CA is something we haven't planned to support, would that
    give any additional value over importing only the specific server cert?

    Cheers,
    Nils
  • 0 in reply to nkoenig
    1. Indeed importing the CA has not much benefit over importing the server certificates separately. The only benefits I see is that you have to add less certs. Additionally if the server certificates gets resigned a lot (short valid time) you don't need to re-import them each time.

    2. However what you describe doesn't solve the client certificate problem though.
  • 0 in reply to sjorge

    2. However what you describe doesn't solve the client certificate problem though.


    As I stated - since the FF update it's broken. We will roll out the fix via pattern u2d soon, I'll let you know when it's supposed to work.

    Nils
  • 0 in reply to nkoenig
    Hi sjorge,

    since your post describes another problem than your initial one, I copied it to a new thread, which is located here.

    Cheers,
    Cristof
  • 0 in reply to cziel
    Hi sjorge,

    since your post describes another problem than your initial one, I copied it to a new thread, which is located here.

    Cheers,
    Cristof


    Oops, that was an error on my part. That should have gone in a new thread. I was wondering why I didn't find it again. [:O]
  • 0 in reply to nkoenig
    As I stated - since the FF update it's broken. We will roll out the fix via pattern u2d soon, I'll let you know when it's supposed to work.

    Nils


    Fixed via 8.930 and pattern update.
  • 0 in reply to nkoenig
    Partially fixed, it does indeed not complain about the certificate being invalid.

    However I still cannot add a client certificate to the browser for 2 way SSL authentication. Maybe this should be a separate thread also?
  • 0 in reply to sjorge
    Partially fixed, it does indeed not complain about the certificate being invalid.

    However I still cannot add a client certificate to the browser for 2 way SSL authentication. Maybe this should be a separate thread also?


    Sorry I don't get it.
    The FF running on ASG does not complain about the cert being invalid, right?
    So which client cert you can't add to which browser in order to do 2 way SSL auth?

    Nils
  • 0 in reply to nkoenig
    Hi Nkoenig,

    My backend server uses 2-way SSL (Also called Mutual SSL).
    Both the server and the client provide a certificate to each other.
    The client will validate the server against a CA, the server will validate the client against the same CA.

    If both are valid, it is assume that both parties are who they say the are.

    Mutual authentication - Wikipedia, the free encyclopedia

    So for this to work, the client (firefox) also has to have it's own certificate to present to the server.

    For now the connections still fails, not because the server isn't trusted.
    But because the client (firefox in this case) does not have any certificates to present to the server.
Reply
  • 0 in reply to nkoenig
    Hi Nkoenig,

    My backend server uses 2-way SSL (Also called Mutual SSL).
    Both the server and the client provide a certificate to each other.
    The client will validate the server against a CA, the server will validate the client against the same CA.

    If both are valid, it is assume that both parties are who they say the are.

    Mutual authentication - Wikipedia, the free encyclopedia

    So for this to work, the client (firefox) also has to have it's own certificate to present to the server.

    For now the connections still fails, not because the server isn't trusted.
    But because the client (firefox in this case) does not have any certificates to present to the server.
Children
  • 0 in reply to sjorge

    So for this to work, the client (firefox) also has to have it's own certificate to present to the server.

    For now the connections still fails, not because the server isn't trusted.
    But because the client (firefox in this case) does not have any certificates to present to the server.


    Thanks for making that clear.
    To me this seems to be a new feature because you need to fetch the server
    cert (as it is possible now) and import an additional cert for the browser to
    present to the server. 

    This is not possible at the moment, may I kindly ask you to go to
    Astaro Security Gateway Feature Requests: Hot (1010 ideas)
    and open a new feature request if this is something you really can't live without? [;)]
  • 0 in reply to nkoenig
    Thanks for making that clear.
    To me this seems to be a new feature because you need to fetch the server
    cert (as it is possible now) and import an additional cert for the browser to
    present to the server. 

    This is not possible at the moment, may I kindly ask you to go to
    Astaro Security Gateway Feature Requests: Hot (1010 ideas)
    and open a new feature request if this is something you really can't live without? [;)]


    I can live without this, but maybe this should be documented somewhere that it won't work.
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?