Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL proxy mit eigener Untergeordneter Zertifizierungsstelle

Hallo,

habe folgendes Problem:

SSL Content Filter mit eigener Zertifizierungsstelle ausgestellt von der Root CA ADPKI und wenn ich im Browser die Zertifikatsdetails aufrufe kommt folgendes:

Bis jetzt habe ich immer SSL Content Filter mit dem von Sophos selbstgenerierten Zertifikat betrieben. Nun will ich aber eines von meiner Root CA ausgestelltes Zertifikat verwenden, damit nicht mehr das selbstgenerierte von Sophos verwendet wird. Ich habe dann das Zertifikat (Untergeordnete Zertifizierungsstelle) ausgestellt mittels Web (certsrv). Ich habe das Zertifikat dann im PKCS #12 Format exportiert und dann bei der Sophos als Proxy CA hochgeladen.

Ich bin dieser Anleitung gefolgt https://www.frankysweb.de/untergeordnete-zertifizierungsstelle-fr-sophos-utm-https-ca-web-filter/ . 

Verstehe nicht wieso es in der Anleitung funktioniert und bei mir nicht... 

Villeicht hat jemand eine Idee?

 

LG Davide



This thread was automatically locked due to age.
  • Hallo Davide,

    wenn du den IE auf den Clients verwendest sollten die Root CA Zertifikate schon im Zertifikatstore der Clients liegen. Falls nicht ist die interne PKI nicht richtig eingerichtet worden.

    Ich habe selber noch nie eine Intermediate CA auf der Sophos verwendet und sehe eigentlich auch keinen Grund dafür. Grundsätzlich solltest du aber auch das Root CA Zertifikat dann in die UTM importieren. Hast du das gemacht?

    Was spricht für ein solches Vorgehen? Eine Signing CA auf der UTM zurückziehen ist nicht notwendig, bei Kompromitierungsverdacht kann man die CA einfach regenerieren. Aber dafür müsste ja jemand direkt an die UTM Verwaltung dran kommen und vollen Zugriff haben. Wenn das tatsächlich passieren würde ist die CA das geringste Problem.

    Ich vertraue der UTM eigenen CA mehr als einer firmenintegrierten PKI. Ich weiß aus meiner Erfahrung das der größte Teil der internen PKI Strukturen unproffesionell und somit unsicher eingerichtet ist. Wenn das bei euch anders ist gehört ihr zu den Ausnahmen.

    vg

    mod

  • Hallo mod,

    danke erstmals für deine Antwort.

    Klar habe ich die Root CA als Signing CA eingetragen (PKCS 12#). Danach habe ich versucht die Intermediate als Proxy CA an der Sophos uploaden. Dass es mit der Root-CA funktioniert habe ich gesehen und man könnte das auch so lassen, ist aber unschön und keine professionelle Lösung. Ich versuche zu verstehen warum der SSL Proxy die Zertifikats Chain nicht aufbaut. Wenn du dir meinen Screenshot ansiehst kannst du erkennen dass nur 1 Zertifikat aufgelistet wird und zwar das von der Website selbst, nicht mal das vom Proxy CA ist vorhanden??!  Wieso? UTM Bug??

    Jetzt werde ich versuchen das Update auf 9.5 aufzuspielen und hoffen dass sich was tut.

    Dass einige Admins private Keys überall hin exportieren und dass Zertifikate nicht ordentlich mit SAN, Basiseinschränkungen und Austellungsrichtlinien ausgestellt werden ist mir bekannt.

    Schönen Abend noch

    LG Davide

  • Hallo Davide,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I haven't had much luck uploading the Intermediate CA separately.  Try concatenating the two certs before creating the PKCS#12.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?