Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 10663 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL / HTTPS proxy

petermiller
Hallo,

wir haben uns hier in der Firma eine ASTARO Firewall angeschafft (es ist Version 7.5) und sind jetzt dabei diese zu testen.
Dabei kommen ich mit den SSL Verbindungen nicht weiter. Das SSL Zertifikat von uns ist bereits in die Firewall geladen worden, jedoch kann ich keine HTTPS verbindungen aufbauen.

Bisher war die Option Transparent aktiviert, mit der aber (laut Anleitung) nur Port 80 geht, richtig? 
Daher habe ich auf Standard umgestellt, sodass ich den Proxy im Browser eintragen muss, damit kann ich auch auf alle HTTPS Seiten zugreiben, beispielsweise von der Commerzbank. Allerdings kann ich unsere eigenen Seiten darüber nicht erreichen, dann erscheint eine Fehlermeldung das das Zertifikat nicht geladen werden konnte. Bei externen seiten Klappt es allerdings wunderbar.
Da wir einige server haben, die SSL verbindungen benötigen, wäre es für mich einfacher wenn man es irgendwie transparent lösen könnte. Allerdings bin ich noch nicht so durch das system durchgestiegen, da unsere jetztige symantec doch etwas anders tickt [[:D]]

Wenn ich den HTTPS Proxy als Standard einrichte, muss ich doch für jeden server den proxy eintragen, oder kann ich auch eine ausnahme für die server erstellen, die sozusagen den Proxy umgeht?

Sorry, bin blutiger ASTARO anfänger [[:D]]

Grüße
PeterMiller


This thread was automatically locked due to age.
Parents
  • 0
    Hi Peter,

    Zunächst: Astaro kannst Du nur über den Channel kaufen, also von einem Partner. Nimm' den ruhig in die Pflicht, Dir bei der Systeminstallation und in der Testphase zu helfen; wäre ja doof, wenn Du allein das Produkt nicht in den Griff bekommst und dann bei Symantec bleiben müsstest. Wenn der Partner, bei dem Du kaufen willst, ne Flachpfeife ist und Dir nicht helfen kann, wechsel' besser den Partner, denn über den wird auch der Support im First Level abgewickelt; sofern Du nicht Premium Support kaufst.

    That said:


    a) wenn Du den transparenten Modus nutzt, greift das auch für Port 443.
    b) Du kannst Ausnahmen für den transparenten Proxy erstellen, aber auch für einzelne Quell IP Adressen. Ausnahmen können sein "scanne nicht nach SSL, umgehe den Proxy" usw.
    c) SSL Scanning ist nicht so einfach. Schau' doch am Besten mal unter https://support.astaro.com/support/index.php/Category:Web_Security nach, ob Du ein passendes Howto findest. Das Ding hat nämlich folgende Konsequenzen:

    1. um eine Zertifikatswarnung auf Clientseite (ungültiges Zertifikat) zu umgehen, musst Du das HTTPS Proxy CA Zertifikat als trusted root CA in allen Clients importieren (geht auch über ne Gruppenrichtlinie)
    2. musst Du nun noch dafür sorgen, dass die Astaro die CA als vertrauenswürdig akzeptiert, die Serverzertifikate ausstellt, damit es nicht zu einer Fehlermeldung durch die ASG kommt, die ja den Tunnel stellvertretend für den Browser beendet. Standardmäßig sind hier eine ganze Reihe von Root CA Zertifikaten hinterlegt (deckungsgleich mit Browsern), aber eben keine eigenen CAs. Die kann man aber importieren.

    Hoffe das hilft Dir erstmal ein wenig.

    Liebe Grüße
    Christian
Reply
  • 0
    Hi Peter,

    Zunächst: Astaro kannst Du nur über den Channel kaufen, also von einem Partner. Nimm' den ruhig in die Pflicht, Dir bei der Systeminstallation und in der Testphase zu helfen; wäre ja doof, wenn Du allein das Produkt nicht in den Griff bekommst und dann bei Symantec bleiben müsstest. Wenn der Partner, bei dem Du kaufen willst, ne Flachpfeife ist und Dir nicht helfen kann, wechsel' besser den Partner, denn über den wird auch der Support im First Level abgewickelt; sofern Du nicht Premium Support kaufst.

    That said:


    a) wenn Du den transparenten Modus nutzt, greift das auch für Port 443.
    b) Du kannst Ausnahmen für den transparenten Proxy erstellen, aber auch für einzelne Quell IP Adressen. Ausnahmen können sein "scanne nicht nach SSL, umgehe den Proxy" usw.
    c) SSL Scanning ist nicht so einfach. Schau' doch am Besten mal unter https://support.astaro.com/support/index.php/Category:Web_Security nach, ob Du ein passendes Howto findest. Das Ding hat nämlich folgende Konsequenzen:

    1. um eine Zertifikatswarnung auf Clientseite (ungültiges Zertifikat) zu umgehen, musst Du das HTTPS Proxy CA Zertifikat als trusted root CA in allen Clients importieren (geht auch über ne Gruppenrichtlinie)
    2. musst Du nun noch dafür sorgen, dass die Astaro die CA als vertrauenswürdig akzeptiert, die Serverzertifikate ausstellt, damit es nicht zu einer Fehlermeldung durch die ASG kommt, die ja den Tunnel stellvertretend für den Browser beendet. Standardmäßig sind hier eine ganze Reihe von Root CA Zertifikaten hinterlegt (deckungsgleich mit Browsern), aber eben keine eigenen CAs. Die kann man aber importieren.

    Hoffe das hilft Dir erstmal ein wenig.

    Liebe Grüße
    Christian
Children
No Data