Regenerate WebAdmin Certificate Authority?

'Management >> WebAdmin Settings' 'HTTPS Certificate' tab?

'Management >> WebAdmin Settings' 'HTTPS Certificate' tab?

No, that allows you to create a new WebAdmin HTTPS certificate using the existing CA or to import the CA into your browser.

The Certificate Authority is created on install and I can't find any way to do that process over again.

What are you trying to accomplish?

'Web Security >> HTTP/S' 'HTTPS CAs' tab?

Umm, I want to create a new certificate authority used to create the WebAdmin (and User Portal) browser certificate.

The details I used in the CA a couple years ago are no longer correct.

I am not interested in the HTTP/S proxy.  Already found that, too.

I think my first indication was the correct one for what you want.  Tom Kistner is one of the final authorities on this: https://community.sophos.com/products/unified-threat-management/astaroorg/f/114/p/73163/282477#282477

Cheers - Bob

If you want to regenerate the signing CA you can do that in webadmin by going to:

site to site VPN >> Certificate Management >> Advanced

That's cool, except there is no "Recreate CA" in WebAdmin settings.

I would really rather not start this config from scratch to make this change.

If you want to regenerate the signing CA you can do that in webadmin by going to:

site to site VPN >> Certificate Management >> Advanced

As I see it, there are (at least) four different Certificate Authorities in an Astaro 7.4:

Organization WebAdmin CA (For creating the WebAdmin/User Portal Cert)
Organization VPN Signing CA (For creating VPN Certs)
Organization VPN Verification CA
Organization Proxy CA (For dynamic https proxy certs)

There are UIs for creating the VPN CAs and the Proxy CAs, but I cannot find a way to recreate the WebAdmin CA.

CJL, you are correct!

Because of Tom Kistner's comment, and the fact that I've never experienced any problems with the WebAdmin CA, I assumed that the CA was regenerated along with the Certificate.  That apparently is not so.  I just did an experiment with our test box, and it still has the same CA that was created when I set up the device in February.  I also tried Dilandau's suggestion, and the webadmin CA remained unchanged.  Even though I was pretty sure it wouldn't make any difference, I then tried changing the Proxy CA, and that had no effect.

OK, so if the only use of the WebAdmin CA is to sign the WebAdmin Cert, then what benefit do I get from changing the CA?

Cheers - Bob

CJL, you are correct!

Because of Tom Kistner's comment, and the fact that I've never experienced any problems with the WebAdmin CA, I assumed that the CA was regenerated along with the Certificate.  That apparently is not so.  I just did an experiment with our test box, and it still has the same CA that was created when I set up the device in February.  I also tried Dilandau's suggestion, and the webadmin CA remained unchanged.  Even though I was pretty sure it wouldn't make any difference, I then tried changing the Proxy CA, and that had no effect.

OK, so if the only use of the WebAdmin CA is to sign the WebAdmin Cert, then what benefit do I get from changing the CA?

Cheers - Bob

For starters, it's not just WebAdmin, it's User Portal, too.

My WebAdmin CA is generates MD5 signatures.  Hopefully Astaro is phasing out MD5.

I don't see any reason, from this side of the interface, to preclude administrators from recreating or uploading their own PKCS12 CA for WebAdmin/User Portal cert generation.  It could be intertwined in the configuration in ways I don't know about.

If I wanted to obtain a certificate for User Portal from a provider, there ought to be an interface available to upload it.  I'm pretty sure I found where to place it in chroot-httpd but that's a hack.

Guess this isn't really a bug, but a feature request.