Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 5583 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't select uploaded certificate for TLS handshake

steagle
(Apologies if this should be in the Site-to-Site VPN forum, but it's also related to Mail)

I had a signed certificate for SMTP traffic expire recently, so I deleted it from my Certificates list in my ASG220. I created a new certificate, gave it the same name as before, selected PEM as the file type, and uploaded the file I was given by the CA (in CRT format, but it came over fine). The basic information in the certificate is displayed properly in the list (start and expiration dates, for instance), but when I go to SMTP/Advanced, in the TLS handshake drop-down box I cannot select this new certificate. Back in the Certificates list, it shows the "non secure" icon next to the name, the picture of the card without the golden key at the bottom, and I can't download the certificate either. I assume this is the root of the problem but I can't find anything in Astaro documentation for how to resolve it. 

Any help much appreciated.


This thread was automatically locked due to age.
  • 0 in reply to steagle
    update: i was able to create the PK12 file (also did it in PFX format), but no change - clients still don't trust the CA and a secure connection is not made. I did some digging with a friend and we reached the conclusion that our CA (GeoTrust) has all these intermediate certificates that have to be included in the PK12 export from openssl, and so far I haven't had any luck with the export packages. Research tells me that they have to be in a particular order - to mimic the certificate chain from the CA (server cert, DV SSL CA, Global CA, etc). I am going to talk to GeoTrust tech support again tomorrow to see if they can verify what exactly needs to be in the PK12 file, so that my firewall has all the verification it needs for SMTP clients. Will post back here if any progress is made.
Cookie Information Banner