Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5584 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't select uploaded certificate for TLS handshake

steagle
(Apologies if this should be in the Site-to-Site VPN forum, but it's also related to Mail)

I had a signed certificate for SMTP traffic expire recently, so I deleted it from my Certificates list in my ASG220. I created a new certificate, gave it the same name as before, selected PEM as the file type, and uploaded the file I was given by the CA (in CRT format, but it came over fine). The basic information in the certificate is displayed properly in the list (start and expiration dates, for instance), but when I go to SMTP/Advanced, in the TLS handshake drop-down box I cannot select this new certificate. Back in the Certificates list, it shows the "non secure" icon next to the name, the picture of the card without the golden key at the bottom, and I can't download the certificate either. I assume this is the root of the problem but I can't find anything in Astaro documentation for how to resolve it. 

Any help much appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    All I can say is that I've never created a cert for TLS,  assigned a cert for TLS or ever had a problem with any customer using Mail Security, but I don't think we have any customers on Apple Mail.  Does anyone know what the default cert is for TLS?  I guess it's the "Local X509 Certificate", but I don't know that for a fact.

    I wonder if the issue isn't a conflict in your basic configuration.  Is the hostname of your Astaro a publically-resolvable FQDN like mail.domain.com?  One idea would be to create a new cert (caution, to generate a good cert, you must fill in all of the fields) with 'VPNId' = "Hostname" and then putting the content of your primary MX record as the ID and also into 'SMTP hostname' in 'Advanced' settings.  Does selecting that cert solve the problem?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    All I can say is that I've never created a cert for TLS,  assigned a cert for TLS or ever had a problem with any customer using Mail Security, but I don't think we have any customers on Apple Mail.  Does anyone know what the default cert is for TLS?  I guess it's the "Local X509 Certificate", but I don't know that for a fact.

    I wonder if the issue isn't a conflict in your basic configuration.  Is the hostname of your Astaro a publically-resolvable FQDN like mail.domain.com?  One idea would be to create a new cert (caution, to generate a good cert, you must fill in all of the fields) with 'VPNId' = "Hostname" and then putting the content of your primary MX record as the ID and also into 'SMTP hostname' in 'Advanced' settings.  Does selecting that cert solve the problem?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Yes, that's how I generated the certificate - the certificate's VPNID & common name and the Astaro's SMTP Hostname are identical, but the common name of this certificate (in this case smtp.domain.com) is different than the public name of the Astaro. 

    I tried the Local X509 Cert and it didn't change the behavior of email clients still prompting for security exceptions. 

    This configuration - using our mail server for IMAP/POP processing and the Astaro for SMTP, with one SSL certificate on each machine - has worked fine in the past for us. But seeing as how I didn't do the initial configuration and this is the first time I've had to buy new certificates for mail, I'm a little stumped. I assume that the previous sysadmin used the PCKS#12 package to get a signed certificate onto the Astaro, but I can't get that to work in openssl for whatever reason.
  • 0 in reply to steagle
    update: i was able to create the PK12 file (also did it in PFX format), but no change - clients still don't trust the CA and a secure connection is not made. I did some digging with a friend and we reached the conclusion that our CA (GeoTrust) has all these intermediate certificates that have to be included in the PK12 export from openssl, and so far I haven't had any luck with the export packages. Research tells me that they have to be in a particular order - to mimic the certificate chain from the CA (server cert, DV SSL CA, Global CA, etc). I am going to talk to GeoTrust tech support again tomorrow to see if they can verify what exactly needs to be in the PK12 file, so that my firewall has all the verification it needs for SMTP clients. Will post back here if any progress is made.
Cookie Information Banner