Guest User!

You are not Sophos Staff.

Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 12 replies
  • Answers 2 answers
  • Subscribers 6 subscribers
  • Views 3849 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verständnisfrage zu WAF und Wildcardzertifikat

Dirk Wohlgemuth

Hallo Community,

wir haben ein Wildcardzertifikat erworben und nutzen dies auch am Mailserver... Nun haben wir die WAF von einem "Experten" eingerichtet bekommen allerdings wird uns bei Android Handys das Zertifikat bei der ActiveSync Verbindung nicht als vertrauenswürdig angezeigt obwohl es das korrekte Wildcardzertifikat ist. Schalte ich die WAF aus und aktiviere zum test einen DNAT Regel die auf den Mailserver zeigt klappt alles ohne Problem....

Der MS Connectivity Test zeigt folgendes an:

There's a missing intermediate certificate in the certificate chain.

Weiß jemand wo ich das Wildcardzertifikat noch einspielen muss? Ich habe leider wenig erfahrung mit der WAF und Zertifikaten...

Grüße



This thread was automatically locked due to age.
Parents
  • 0

    Da fehlt wohl einiges im Zertifikat.

    Man kann sich die "Certificate Chain" selbst zusammenfügen, indem man die jeweiligen Zertifikate in einem gescheiten Editor hintereinander kopiert und als ein gemeinsames "Zertifikat" abspeichert.

    Die Reihenfolge ist dabei entscheidend: Zuesrt das eigene, dann das Zwischenzertifkat, dann die Root-CA, die die Zertifikate ausgestellt hat.

    Zur weiteren Info: https://medium.com/two-cents/certificate-chain-example-e37d68c3a3f0

    Einfach mal das Zertifikat in der WAF-Konfiguratio durch ein solches zusammengesetztes ersetzen und dann testen.

     

    Gruß,

    Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Hallo Leute,

     

    erstmal viele Dank für die Unterstützung!

     

    Der SSL Checker sagt folgendes:

    The certificate is not trusted in all web browsers. You may need to install an Intermediate/chain certificate to link it to a trusted root certificate. Learn more about this error. You can fix this by following DigiCert's Certificate Installation Instructions for your server platform. Pay attention to the parts about Intermediate certificates.

    Ich habe das Zertifikate extra beim Dienstleister bestellt und es sieht eigentlich alles super aus. Es befinden sich unter anderem folgende Zertifikate in dem Ordner den ich bekommen habe:

    digicert.crt

    rapidssl.crt

    wildcard.firmendomain.de.crt (hier ist auch die Kette hinterlegt)

    Im Wildcardzertifikat ist die Kette hinterlegt, der Zugriff auf OWA funktioniert auch. Nur die Mobilen Geräte bemängeln beim ActiveSync Zugriff das Zertifikat. Ich hab mir die genannten Artikel angeschaut mir wird aber leider noch immer nicht ganz klar wo genau das Problem liegt... Wie bereits gesagt, es gibt nur Probleme mit der WAF, bei aktivierter DNAT Regel ist alles cool. Muss ich in die Kette noch was von der UTM einpflegen? 

     

    Sorry aber ich hab da bisher keine Erfahrung sammeln können und wieder danke vorab!

     

    Dirk

  • +1 in reply to Dirk Wohlgemuth

    Hallo,

     

    ggf. fehlt dir die Zwischenzertifizierungsstelle direkt auf der Sophos? Du musst dort dann bei Zertifikatsverwaltung -> CA - die bemängelte fehlende Zwischen-CA auf die Sophos hochladen. (wäre der Fall, wenn ein SSL-Checker beim Prüfen von mailname.firmendomain.de und autodiscover.firmendomain.de die fehlende Zwischen-CA anmeckert)

     

    Falls das okay ist:

    Hast du alles über einen virtuellen Webserver in der Sophos veröffentlicht oder aufgetrennt auf mehrere virtuelle Server? Falls es aufgetrennt ist, hast du ggf. irgendwo (wahrscheinlich bei autodiscover) ein falsches Zertifikat im virtuellen Webserver hinterlegt? im Prinzip benötigt man ja mailname.firmendomain.de und autodiscover.firmendomain.de als "Zertifikatsname"/Veröffentlichung.

     

    Steve

  • 0 in reply to Dirk Wohlgemuth

    Hallo Dirk,

    nimm doch mal einen notepad++ und sieh dir das Zertifikat "wildcard.firmendomain.de.crt" einmal genauer an.

    Sieht das von der Struktur her so aus:

    -----BEGIN CERTIFICATE-----

    Inhalt des Zertifikats für "firmendomain.de"

    -----END CERTIFICATE-----

    ...

    -----BEGIN CERTIFICATE-----
    Inhalt des Zertifikats der "Intermediate CA" (Zwischenzertifizierungsstelle)

    -----END CERTIFICATE-----

    ...

    -----BEGIN CERTIFICATE-----
    Inhalt des Zertifikats der "DigiCert RootCA"
    -----END CERTIFICATE-----


    Gruß,
    Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • 0 in reply to Dirk Wohlgemuth

    Hallo Dirk,

    nimm doch mal einen notepad++ und sieh dir das Zertifikat "wildcard.firmendomain.de.crt" einmal genauer an.

    Sieht das von der Struktur her so aus:

    -----BEGIN CERTIFICATE-----

    Inhalt des Zertifikats für "firmendomain.de"

    -----END CERTIFICATE-----

    ...

    -----BEGIN CERTIFICATE-----
    Inhalt des Zertifikats der "Intermediate CA" (Zwischenzertifizierungsstelle)

    -----END CERTIFICATE-----

    ...

    -----BEGIN CERTIFICATE-----
    Inhalt des Zertifikats der "DigiCert RootCA"
    -----END CERTIFICATE-----


    Gruß,
    Philipp

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
No Data
Unfiltered HTML