Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 5984 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

8.305 - Problems with second Thawte certificate

chk
Hello

We have one Thawte certificate for WAF and it's working fine.
Now we want to use a second Thawte certificate for Remote Access / Cisco VPN Client.
If we choose this certificate at the VPN configuration we get this message:

"The certificate of the CA that issued the 'Thawte_certificate_name' certificate is needed."

If we try to upload the CAs from Thawte at Certificate Authority we get:

"Storage already holds a certificate with the same fingerprint."

What can we do to get this certificate working?

Thanks


This thread was automatically locked due to age.
  • 0
    I don't think you can have two certs for HTTPS on the same IP.  Why not use the first cert for the VPN, too?

    Cheers - Bob
  • 0 in reply to BAlfson
    This isn't the same IP
    The VPN configuration is on an other IP/Interface than the WAF
  • 0
    I didn't even read that far in your post before I asked the question. My bad! - as my son would say.

    Please ask your reseller to open a ticket with Sophos Support, and then please report back here the solution they had.

    Cheers - Bob
  • 0
    Hi,

    can you tell me how you had imported thawte certificates into your astaro box please?

    Thank you!!!

    Hello

    We have one Thawte certificate for WAF and it's working fine.
    Now we want to use a second Thawte certificate for Remote Access / Cisco VPN Client.
    If we choose this certificate at the VPN configuration we get this message:

    "The certificate of the CA that issued the 'Thawte_certificate_name' certificate is needed."

    If we try to upload the CAs from Thawte at Certificate Authority we get:

    "Storage already holds a certificate with the same fingerprint."

    What can we do to get this certificate working?

    Thanks
  • 0
    In 'Certificate Management' in several sections: Remote Access, Site-to-Site, Web Application Security.

    Cheers - Bob
  • 0
    This sounds like a bug. But you may craft a PKCS12 certificate that contains the actual cert *plus* the trust chain (CA certs) in one file.
  • 0 in reply to trollvottel
    How do i do that with openssl?
  • 0 in reply to chk
    The support told me that intermediate certificates are not working with Cisco VPN. So, have i bought a wrong cert?

    They told me to use a locally generated cert.
  • 0
    Can you verify which Thawte CA Certificates you are importing?  You will need to import both the Primary and the Secondary Intermediate CA Certificates.  You can find a list of the Intermediates here:

    https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AR1384

    There are unique Intermediate CA Certificates for each Thawte SSL product.  So, please make sure that you are selecting the correct Intermediates.

    You might receive the "Storage already holds a certificate with the same fingerprint" if the Secondary and /or Primary Intermediate already exists.

    And, if you need to find the Thawte Root certificate, you can find it here:
    https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=AR1530
  • 0
    Hi, JonathanM, and welcome to the User BB!

    chk, you can see on the 'HTTPS CAs' tab of 'Web Filtering' that the Thawte "Premium Server CA" already is loaded in your UTM.  Click on the blue button to the left of it to see its fingerprint.

    Cheers - Bob
    PS I agree with Support.  There's no advantage with VPNs to a cert that's not locally generated.  If you have changed the hostname of your UTM, you'll need to make some other adjustments, but if the current hostname is the same as that in the 'Local X509 Certificate' selected on the 'Advanced' tab of IPsec, you should be good to go.