Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 1354 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Probleme Austausch Zertifikat

Silvio

Hallo zusammen,

ich habe ein Problem mit unserer Sophos UTM9 SG230. Wie vielleicht mitbekommen, ist ein "Intermediate Certificate" von Sectigo (früher Comodo) ausgelaufen und wurde erneuert. Darauf hin habe ich auch die Zertifikat Chain unseres Zertifikates erneuert. Leider gibt es aber immer wieder Probleme mit der Sophos und diesem Zertifikat mit der neuen Chain.

Wir betreiben zwei SG230 im HA-Modus (Hot Standby (active-passiv)). Nennen wir sie einfach Node1 und Node2. Es gibt keinen "preferred master". 

Das erste Problem war der Upload des "neuen" Zertifikates. Die SG230 erlaubte keinen erneuten Upload da das Zertifikat bereits existierte. Wurde umgangen durch vorheriges löschen des alten Zertifikates auf dem Node1.

Zertifikat mit der neuen Chain auf dem Node1 hochgeladen und in der Webserver Protection eingebunden. SSL Check gemacht und getestet. Alles in Ordnung, alles Grün.

Nun gab es ca. eine Woche später, aufgrund von Updates, einen geplanten Failover. Node1 wurde Slave und Node2 wurde Master.

Hier beginnen nun die Probleme. Plötzlich wurde uns gemeldet das unser Zertifikat einen Fehler in der Chain hätte und Webseiten nicht mehr erreichbar wären. Kontrolliert und tatsächlich wurde wieder die alte Version des Zertifikats mit der alten Chain verwendet.

Als nächstes manuellen Failover von Node2 auf Node1. SSL Chain kontrolliert. Alles wieder gut, alle Seiten wieder erreichbar.

Failover zurück zu Node2. SSL Cain kontrolliert, Fehler tritt wieder auf. Prozedere des Zertifikat austausch auch auf dem Node2 als Master durchgeführt. Erstmal alles gut. Allerdings nach ein paar Tagen wieder das gleiche Problem. Es wird wieder eine alte Version des Zertifikat mit der abgelaufen Chain verwendet.

Aktuell haben wir keine wirklich HA mehr, da nur mit dem Node1 als Master alles in Ordnung ist.

Fragen:

1. Warum kann ich nicht einfach ein bestehendes Zertifikat überschreiben?

2. Wenn ich das Zertifikat auf dem Master austausche, gehe ich davon aus, dass der sync sicherstellt, dass es auch auf dem Slave ausgetauscht wird. Warum geschieht das nicht?

3. Ich habe das Zertifikat auch schon auf dem Node2 ausgetauscht, nur mit kurzem Erfolg. Was kann ich machen um wieder beide Nodes gleich zu haben?

Viele Grüße und vielen Dank für etwaige Hilfe,

Silvio



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Silvio,

    Herzlich willkommen hier in der UTM Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    This is a problem that should be looked at by Sophos Support.  If you removed the old cert at the command line, Support may require you to restore a backup from prior to that.

    Good luck!

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hallo Bob,

    danke für deine Antwort. Mittlerweile schaut sich der Sophos Support das Problem an. Sobald ich eine Rückmeldung oder Lösung erhalten habe, würde ich die hier auch teilen.

    Viele Grüße,

    Silvio

  • 0 in reply to Silvio

    Eine Rückmeldung mit einer "hoffentlichen" Lösung  wäre super, denn hier könnte evtl das selbe Problem bestehen. Habe hier nämlich auch in einem HA Setup Zertifikate ausgetauscht.

Reply Children
No Data
Unfiltered HTML