Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 12 replies
  • Answers 2 answers
  • Subscribers 6 subscribers
  • Views 3849 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständnisfrage zu WAF und Wildcardzertifikat

Dirk Wohlgemuth

Hallo Community,

wir haben ein Wildcardzertifikat erworben und nutzen dies auch am Mailserver... Nun haben wir die WAF von einem "Experten" eingerichtet bekommen allerdings wird uns bei Android Handys das Zertifikat bei der ActiveSync Verbindung nicht als vertrauenswürdig angezeigt obwohl es das korrekte Wildcardzertifikat ist. Schalte ich die WAF aus und aktiviere zum test einen DNAT Regel die auf den Mailserver zeigt klappt alles ohne Problem....

Der MS Connectivity Test zeigt folgendes an:

There's a missing intermediate certificate in the certificate chain.

Weiß jemand wo ich das Wildcardzertifikat noch einspielen muss? Ich habe leider wenig erfahrung mit der WAF und Zertifikaten...

Grüße



This thread was automatically locked due to age.
Parents
  • 0

    Da fehlt wohl einiges im Zertifikat.

    Man kann sich die "Certificate Chain" selbst zusammenfügen, indem man die jeweiligen Zertifikate in einem gescheiten Editor hintereinander kopiert und als ein gemeinsames "Zertifikat" abspeichert.

    Die Reihenfolge ist dabei entscheidend: Zuesrt das eigene, dann das Zwischenzertifkat, dann die Root-CA, die die Zertifikate ausgestellt hat.

    Zur weiteren Info: https://medium.com/two-cents/certificate-chain-example-e37d68c3a3f0

    Einfach mal das Zertifikat in der WAF-Konfiguratio durch ein solches zusammengesetztes ersetzen und dann testen.

     

    Gruß,

    Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Hallo Leute,

     

    erstmal viele Dank für die Unterstützung!

     

    Der SSL Checker sagt folgendes:

    The certificate is not trusted in all web browsers. You may need to install an Intermediate/chain certificate to link it to a trusted root certificate. Learn more about this error. You can fix this by following DigiCert's Certificate Installation Instructions for your server platform. Pay attention to the parts about Intermediate certificates.

    Ich habe das Zertifikate extra beim Dienstleister bestellt und es sieht eigentlich alles super aus. Es befinden sich unter anderem folgende Zertifikate in dem Ordner den ich bekommen habe:

    digicert.crt

    rapidssl.crt

    wildcard.firmendomain.de.crt (hier ist auch die Kette hinterlegt)

    Im Wildcardzertifikat ist die Kette hinterlegt, der Zugriff auf OWA funktioniert auch. Nur die Mobilen Geräte bemängeln beim ActiveSync Zugriff das Zertifikat. Ich hab mir die genannten Artikel angeschaut mir wird aber leider noch immer nicht ganz klar wo genau das Problem liegt... Wie bereits gesagt, es gibt nur Probleme mit der WAF, bei aktivierter DNAT Regel ist alles cool. Muss ich in die Kette noch was von der UTM einpflegen? 

     

    Sorry aber ich hab da bisher keine Erfahrung sammeln können und wieder danke vorab!

     

    Dirk

Reply
  • 0 in reply to jprusch

    Hallo Leute,

     

    erstmal viele Dank für die Unterstützung!

     

    Der SSL Checker sagt folgendes:

    The certificate is not trusted in all web browsers. You may need to install an Intermediate/chain certificate to link it to a trusted root certificate. Learn more about this error. You can fix this by following DigiCert's Certificate Installation Instructions for your server platform. Pay attention to the parts about Intermediate certificates.

    Ich habe das Zertifikate extra beim Dienstleister bestellt und es sieht eigentlich alles super aus. Es befinden sich unter anderem folgende Zertifikate in dem Ordner den ich bekommen habe:

    digicert.crt

    rapidssl.crt

    wildcard.firmendomain.de.crt (hier ist auch die Kette hinterlegt)

    Im Wildcardzertifikat ist die Kette hinterlegt, der Zugriff auf OWA funktioniert auch. Nur die Mobilen Geräte bemängeln beim ActiveSync Zugriff das Zertifikat. Ich hab mir die genannten Artikel angeschaut mir wird aber leider noch immer nicht ganz klar wo genau das Problem liegt... Wie bereits gesagt, es gibt nur Probleme mit der WAF, bei aktivierter DNAT Regel ist alles cool. Muss ich in die Kette noch was von der UTM einpflegen? 

     

    Sorry aber ich hab da bisher keine Erfahrung sammeln können und wieder danke vorab!

     

    Dirk

Children
  • +1 in reply to Dirk Wohlgemuth

    Hallo,

     

    ggf. fehlt dir die Zwischenzertifizierungsstelle direkt auf der Sophos? Du musst dort dann bei Zertifikatsverwaltung -> CA - die bemängelte fehlende Zwischen-CA auf die Sophos hochladen. (wäre der Fall, wenn ein SSL-Checker beim Prüfen von mailname.firmendomain.de und autodiscover.firmendomain.de die fehlende Zwischen-CA anmeckert)

     

    Falls das okay ist:

    Hast du alles über einen virtuellen Webserver in der Sophos veröffentlicht oder aufgetrennt auf mehrere virtuelle Server? Falls es aufgetrennt ist, hast du ggf. irgendwo (wahrscheinlich bei autodiscover) ein falsches Zertifikat im virtuellen Webserver hinterlegt? im Prinzip benötigt man ja mailname.firmendomain.de und autodiscover.firmendomain.de als "Zertifikatsname"/Veröffentlichung.

     

    Steve

  • 0 in reply to Dirk Wohlgemuth

    Hallo Dirk,

    nimm doch mal einen notepad++ und sieh dir das Zertifikat "wildcard.firmendomain.de.crt" einmal genauer an.

    Sieht das von der Struktur her so aus:

    -----BEGIN CERTIFICATE-----

    Inhalt des Zertifikats für "firmendomain.de"

    -----END CERTIFICATE-----

    ...

    -----BEGIN CERTIFICATE-----
    Inhalt des Zertifikats der "Intermediate CA" (Zwischenzertifizierungsstelle)

    -----END CERTIFICATE-----

    ...

    -----BEGIN CERTIFICATE-----
    Inhalt des Zertifikats der "DigiCert RootCA"
    -----END CERTIFICATE-----


    Gruß,
    Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Steve Weißflog

    Hallo Steve,

    ja es wird bei autodiscover und mailname das Zwischenzertifikat bemängelt... Ich hatte letzte Woche mal zum test das Wildcardzertifikat in die CA der Sophos eingepflegt. Danach gingen sämtliche VPN (SSL und Site-to-Site) nicht mehr ^^ Habe dann das Backup zurück gespielt..

    Ich verstehe auch in der CA nicht das die Zertifikate mit blauen Symbol löschbar sind und die grünen nicht... Ich muss wohl erst nochmal eine korrekte Schulung machen. Wir haben derzeitig auch keinen kompetenten SophosPartner.

    Hallo Philipp,

    der Inhalt vom Wildcardzertifikat sieht nur so aus:

    -----BEGIN CERTIFICATE-----

    Inhalt des Zertifikats für "firmendomain.de"

    -----END CERTIFICATE-----

    Es gibt also nur einmal "BEGIN CERTIFICATE" und "END CERTIFICATE"

    MFG

    Dirk

  • 0 in reply to Dirk Wohlgemuth

    Hallo Dirk,

    die Frage wie das Zertifikat "innendrin" aussieht, kam von mir :-)

    Also, dann hast du keine "Chain" in deinem Zertifikat, das habe ich schon vermutet.

    Das Problem mit den CA Einträgen in der Sophos ist die Abhängigkeit der anderen Dienste von einer CA, je nachdem wie es ursprünglich mal konfiguriert wurde.

    Das hast du ja selbst schon anhand der VPN's gemerkt ...

    Gruß,

    Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Hey Philipp,

    sorry! Habs aber sofort gemerkt und korrigiert :D Mit fehlt heute wieder etwas Konzentrat!

     

    Ok, die Kette werde ich mal bilden und es wie bereits beschrieben in die WAF einbinden und testen. Ich werde Feedback geben!

     

    Dirk

  • 0 in reply to jprusch

    Hallo Dirk,

    wenn ihr einen kompetenten Sophos Partner sucht, wo ist denn euer Firmensitz?

    Wir könnten uns auch per PM austauschen, wenn nötig.

    Gruß,

    Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Dirk Wohlgemuth

    Die Zwischen-CAs einfach nur beim Punkt CA als Verifizierungs-CA hochladen nicht als Signierungs-CA...

     

    Steve

  • 0 in reply to Steve Weißflog

    Das ist wahrscheinlich sogar besser, als das Zertifikat zusammenzufügen.

    Bei mir sind die "Verification CA's" blau und die "Signing CA's" sind grün.

    Wir haben auch Zertifikate von DigiCert/GeoTrust und haben dafür zwei "VerificationCA" Einträge vorgenommen. Einmal die "DigiCert Global Root CA" und dann für GeoTrust das Zwischenzertifikat "GeoTrust RSA CA 2018", die kann man aktuell von deren Webseite herunterladen. Damit geht alles.

    - Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    ja leck mich am .... ES GEHT! :)

    Vielen Dank an alle Helfer!!! Ich musste lediglich die rapidssl.pem und digicert.pem in die CA als Verifizierungs-CA einpflegen!

    Der "Experte" hatte nur das Wildcard eingepflegt... Soviel dazu!

    Die Handys können nun auch ohne Zertifikatsfehler eine Verbindung zum Mailserver aufbauen. Der SSLChecker gibt auch keinen Fehler mehr aus und zeigt die Kette korrekt an!

     

    Philipp bei dir werde ich mich noch per PM melden ;)

     

    nochmal tausend Dank!

     

    Dirk

Unfiltered HTML