Timeline for patching SSL vulnerability (Heartbleed Bug)

Hello,

the knowledgebase article was updated.

Is the first step in the Shell important after renew cert. in the WebAdmin?

Thanks

Slightly irritated that after re-generating all certificates two days ago, based on the KB article from Sophos, they update it and say I now need to regenereate the CA first?  So... does this mean I need to re-do the entire thing, and further annoy all employees with an uninstall/install of the VPN client?!

If so... I am getting an error when updating the CA via command line...


result: 0
fatal: [
          {
            'Aattrs' => [
                          'class',
                          'type',
                          'attr'
                        ],
            'attr' => 'country',
            'attrs' => [
                         'maxlen'
                       ],
            'class' => 'ca',
            'fatal' => 1,
            'format' => 'Cannot create certificate: the %_A attribute must not be longer than %s bytes.',
            'maxlen' => 2,
            'msgtype' => 'CA_RDN_LENGTH',
            'name' => 'Cannot create certificate: the country attribute must not be longer than 2 bytes.',
            'never_hide' => 0,
            'type' => 'signing_ca'
          }
        ]
                                                                                                                           127.0.0.1 RAW >

Slightly irritated that after re-generating all certificates two days ago, based on the KB article from Sophos, they update it and say I now need to regenereate the CA first?  So... does this mean I need to re-do the entire thing, and further annoy all employees with an uninstall/install of the VPN client?!

If so... I am getting an error when updating the CA via command line...


result: 0
fatal: [
          {
            'Aattrs' => [
                          'class',
                          'type',
                          'attr'
                        ],
            'attr' => 'country',
            'attrs' => [
                         'maxlen'
                       ],
            'class' => 'ca',
            'fatal' => 1,
            'format' => 'Cannot create certificate: the %_A attribute must not be longer than %s bytes.',
            'maxlen' => 2,
            'msgtype' => 'CA_RDN_LENGTH',
            'name' => 'Cannot create certificate: the country attribute must not be longer than 2 bytes.',
            'never_hide' => 0,
            'type' => 'signing_ca'
          }
        ]
                                                                                                                           127.0.0.1 RAW >

Slightly irritated that after re-generating all certificates two days ago, based on the KB article from Sophos, they update it and say I now need to regenereate the CA first?  So... does this mean I need to re-do the entire thing, and further annoy all employees with an uninstall/install of the VPN client?!

If so... I am getting an error when updating the CA via command line...


result: 0
fatal: [
          {
            'Aattrs' => [
                          'class',
                          'type',
                          'attr'
                        ],
            'attr' => 'country',
            'attrs' => [
                         'maxlen'
                       ],
            'class' => 'ca',
            'fatal' => 1,
            'format' => 'Cannot create certificate: the %_A attribute must not be longer than %s bytes.',
            'maxlen' => 2,
            'msgtype' => 'CA_RDN_LENGTH',
            'name' => 'Cannot create certificate: the country attribute must not be longer than 2 bytes.',
            'never_hide' => 0,
            'type' => 'signing_ca'
          }
        ]
                                                                                                                           127.0.0.1 RAW >

Hi Jimstigator,

the KBA was updatet with regeneration of the WebAdmin CA. After regeneration of that CA you only have to regenerate the WebAdmin Certificate via WebAdmin ( Regenerate Option ). No further steps needed. The VPN Certs and so on are managed by a different CA which you already regenerated by following the old KBA.

The error you get is because you used a too long name in the country part of the command:

country=>'CountryAcronym'

Valid country codes are US, DE and so on. I hope that helps.

Thanks!  That country change fixed it. 

So, just as a confirmation, I am good to go on the other steps where I just went into cert management and refreshed?  The Webadmin piece was the only step that utilizes the command line instructions provided in the latest KB?

I just need 100% confidence I don't need to re-do the SSL VPN certs again.

Thanks!
Jim

Thanks!  That country change fixed it. 

So, just as a confirmation, I am good to go on the other steps where I just went into cert management and refreshed?  The Webadmin piece was the only step that utilizes the command line instructions provided in the latest KB?

I just need 100% confidence I don't need to re-do the SSL VPN certs again.

Thanks!
Jim

No, you do not need to reissue SSL VPN certs. They are signed by the already updated SSL VPN CA. To verify that you can check your actual CA, as shown in the attached screenshot.

Awesome Mino - THANK YOU!  I was about to start to re-deploy the SSL VPN certs. [:)]

-Jim