Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5584 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't select uploaded certificate for TLS handshake

steagle
(Apologies if this should be in the Site-to-Site VPN forum, but it's also related to Mail)

I had a signed certificate for SMTP traffic expire recently, so I deleted it from my Certificates list in my ASG220. I created a new certificate, gave it the same name as before, selected PEM as the file type, and uploaded the file I was given by the CA (in CRT format, but it came over fine). The basic information in the certificate is displayed properly in the list (start and expiration dates, for instance), but when I go to SMTP/Advanced, in the TLS handshake drop-down box I cannot select this new certificate. Back in the Certificates list, it shows the "non secure" icon next to the name, the picture of the card without the golden key at the bottom, and I can't download the certificate either. I assume this is the root of the problem but I can't find anything in Astaro documentation for how to resolve it. 

Any help much appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Is there a reason you need to use an uploaded cert?  Why not just generate one inside the Astaro?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Is there a reason you need to use an uploaded cert?  Why not just generate one inside the Astaro?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Because signed certificates work in all email clients - the self-signed certs do not, from my experience. I don't know if the encryption strength is necessarily stronger in the purchased certificate than something I create in the Astaro, but the compatibility thing is a huge issue for me since everyone uses whatever email program they prefer.
  • 0 in reply to steagle
    Here's a good example - I generated a certificate on the Astaro and assigned it to the TLS handshake. In the program Apple Mail, which the majority of people here use, the following message appears every time a connection to SMTP is attempted:

    "Mail can't verifiy the identity of ****"
    The Certificate for this server was signed by an unknown certifying authority. 

    This never happened with a signed certificate from any of the major CA's, because everyone already has those roots in their operating system (with a few exceptions, but there is always the intermediate/cross-root workaround for those newer roots). 

    If there's a way to have every client see the Astaro as a trusted CA without installing anything then great, but I've never been able to figure that out.
Cookie Information Banner