[8.920][ANSWERED] HTML VPN and SSL Issues. (Multiple but related)

Hi sjorge,

thank you for your input.

You are talking about a Https Application (secure Webapp), I guess.
There is the option to prefetch the certificate in Webadmin.
But due to the update to Firefox 11.0 this feature is broken at the moment,
but we will fix that soon via a pattern update.

But there are still some restrictions concerning the cert.
The hostname entered in HTML5 VPN connection needs to match exactly the CN name. If you use a Host-object instead of a DNS-Host-object, make sure that your self signed certificate contains that IP address as a "Subject Alternative Name" to avoid the certificate warning in the portal-browser.

Importing a CA is something we haven't planned to support, would that
give any additional value over importing only the specific server cert?

Cheers,
Nils

1. Indeed importing the CA has not much benefit over importing the server certificates separately. The only benefits I see is that you have to add less certs. Additionally if the server certificates gets resigned a lot (short valid time) you don't need to re-import them each time.

2. However what you describe doesn't solve the client certificate problem though.

There seem to be some issues when firefox for example is using a NTLM authenticated proxy. IE just closes the window with no error.

Firefox does show the little moz-proxy://proxy.local:8080/ dialog for authentication (normally it shouldn't, it's NTLM Auth so it knows my user).
But if I enter the correct credentials or leave it blank, doesn't matter.

I get the following error. This may be a bug in firefox but it does make the HTML VPN unusable.

2. However what you describe doesn't solve the client certificate problem though.

As I stated - since the FF update it's broken. We will roll out the fix via pattern u2d soon, I'll let you know when it's supposed to work.

Nils

Hi sjorge,

since your post describes another problem than your initial one, I copied it to a new thread, which is located here.

Cheers,
Cristof

Hi sjorge,

since your post describes another problem than your initial one, I copied it to a new thread, which is located here.

Cheers,
Cristof

Oops, that was an error on my part. That should have gone in a new thread. I was wondering why I didn't find it again. [:O]

As I stated - since the FF update it's broken. We will roll out the fix via pattern u2d soon, I'll let you know when it's supposed to work.

Nils

Fixed via 8.930 and pattern update.

Partially fixed, it does indeed not complain about the certificate being invalid.

However I still cannot add a client certificate to the browser for 2 way SSL authentication. Maybe this should be a separate thread also?

Partially fixed, it does indeed not complain about the certificate being invalid.

However I still cannot add a client certificate to the browser for 2 way SSL authentication. Maybe this should be a separate thread also?

Sorry I don't get it.
The FF running on ASG does not complain about the cert being invalid, right?
So which client cert you can't add to which browser in order to do 2 way SSL auth?

Nils

Hi Nkoenig,

My backend server uses 2-way SSL (Also called Mutual SSL).
Both the server and the client provide a certificate to each other.
The client will validate the server against a CA, the server will validate the client against the same CA.

If both are valid, it is assume that both parties are who they say the are.

Mutual authentication - Wikipedia, the free encyclopedia

So for this to work, the client (firefox) also has to have it's own certificate to present to the server.

For now the connections still fails, not because the server isn't trusted.
But because the client (firefox in this case) does not have any certificates to present to the server.