Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5238 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hostname changed: what happens to certificates?

m@x
Hi everyone. I thought I new something about certificates, but the deeper I dig, the more I realize I don't know anything...
I am very confused understanding how certificates work in the UTM and their dependency of each other.

I have recently purchased a domain name an finally changed the "MY-SOPHOS" hostname to "gate.mydomain.com". Yay.

I know that certificates need to be regenerated now, so that they contain the updated hostname.

But I need help and guide in this regard. There are multiple places with Signing CA, then there are Verification CA (??), then a common store with the rest of certs that cannot be viewed but only deleted.

And if I delete the Local X509 Cert because it is no longer valid (old hostname) after which I attempt to regenerate VPN Signing CA, then I get an error "The Confd reported an error without providing any details.". The only way to resolve it, is to generate a cert with exactly the same name "Local X09 Cert" and then regenerate the VPN Signing CA cert.

I am all confused how these dependencies work.

Please help me understanding where to start after the hostname has changed.
I need to cover all bases, every single cert that was affected, including WebAdmin CA, Proxy CA, VPN CA (any other?) and the rest of cascaded certs.

Thanks!


This thread was automatically locked due to age.
  • 0
    the deeper I dig, the more I realize I don't know anything...

    You've joined Socrates, Confucius, Buddha, Ben Franklin and a host of other wise men. [;)]

    See The Zeroeth Rule in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  Can that work for you?

    Cheers - Bob
  • 0 in reply to BAlfson
    You've joined Socrates, Confucius, Buddha, Ben Franklin and a host of other wise men. [;)]

    See The Zeroeth Rule in http://www.astaro.org/gateway-products/general-discussion/49065-rulz.html.  Can that work for you?

    Cheers - Bob


    =) Yes, the zeroeth rule works, but that was my last resort. Factory reset is not a problem - this is my home environment.

    Is there a way to back up selective configuration (exclude system settings and certs)? I'd reset the box and restore only what I need..

    My main source of "self-enlightening" (since we hit the topic about wise men, haha ))) is reading tech articles, blogs, forums, books. But this certificate issue shot me down. And I am confused.

    Can you suggest any good technical reading about how Sophos uses its certs and how they work together with signing/verification certs? I just want to understand it.

    Thx for help
  • 0
    The Wikipedia article is a good place to start: Public-key infrastructure - Wikipedia, the free encyclopedia.

    Although it's possible to redo CAs and certs, it's just not fun - better to have them right the first time.  Rather than trying to do a partial backup, print out a report from 'Support >> Printable Configuration'.  Go to the bottom where you can select to display the entire thing in WebAdmin format and print it to an XPS document.  Now that you know more about the UTM, you'll be able to do a cleaner new install, so I would just use the report for reference rather than as a template - it's an extra hour that I know you'll save many times over.

    Cheers - Bob
  • 0 in reply to BAlfson
    The Wikipedia article is a good place to start: Public-key infrastructure - Wikipedia, the free encyclopedia.

    Although it's possible to redo CAs and certs, it's just not fun - better to have them right the first time.  Rather than trying to do a partial backup, print out a report from 'Support >> Printable Configuration'.  Go to the bottom where you can select to display the entire thing in WebAdmin format and print it to an XPS document.  Now that you know more about the UTM, you'll be able to do a cleaner new install, so I would just use the report for reference rather than as a template - it's an extra hour that I know you'll save many times over.

    Cheers - Bob


    Thx for your help Bob!
  • 0
    Has 9.2 changed this at all? I printed out my config, and it's going to take a bit longer than an hour for me. It was a long nightmare doing this the first time. I'm trying to move from ***.dyndns.biz to ***.myowndomain.com.
  • 0
    RChadwick, use the  trick mentioned in the Zeroeth Rule linked to above - I have the whole procedure down to under 15 minutes with clients where they don't have UTM Endpoint installed.

    Cheers - Bob
  • 0
    OOOh... I missed that little part about being able to back up everything but certs. Sounds good! Do I restore, then do the initial setup, like in the post? Doing an initial setup, then restoring sounds like it would make more sense.
  • 0
    When you restore the limited backup, you are prompted for the hostname, etc., just as if you were configuring the box for the first time.

    Cheers - Bob