Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 12781 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Regenerate WebAdmin Certificate Authority?

CJL
Is there any way to regenerate the Certificate Authority used to create the WebAdmin HTTPS certificate?

7.4


This thread was automatically locked due to age.
Parents
  • 0
    'Management >> WebAdmin Settings' 'HTTPS Certificate' tab?
  • 0 in reply to BAlfson
    No, that allows you to create a new WebAdmin HTTPS certificate using the existing CA or to import the CA into your browser.

    The Certificate Authority is created on install and I can't find any way to do that process over again.
  • 0 in reply to CJL
    What are you trying to accomplish?

    'Web Security >> HTTP/S' 'HTTPS CAs' tab?
  • 0 in reply to BAlfson
    Umm, I want to create a new certificate authority used to create the WebAdmin (and User Portal) browser certificate.

    The details I used in the CA a couple years ago are no longer correct.

    I am not interested in the HTTP/S proxy.  Already found that, too.
  • 0 in reply to CJL
    I think my first indication was the correct one for what you want.  Tom Kistner is one of the final authorities on this: https://community.sophos.com/products/unified-threat-management/astaroorg/f/114/p/73163/282477#282477

    Cheers - Bob
  • 0 in reply to BAlfson
    If you want to regenerate the signing CA you can do that in webadmin by going to:

    site to site VPN >> Certificate Management >> Advanced
  • 0 in reply to BAlfson
    That's cool, except there is no "Recreate CA" in WebAdmin settings.

    I would really rather not start this config from scratch to make this change.
  • 0 in reply to dilandau
    If you want to regenerate the signing CA you can do that in webadmin by going to:

    site to site VPN >> Certificate Management >> Advanced


    As I see it, there are (at least) four different Certificate Authorities in an Astaro 7.4:

    Organization WebAdmin CA (For creating the WebAdmin/User Portal Cert)
    Organization VPN Signing CA (For creating VPN Certs)
    Organization VPN Verification CA
    Organization Proxy CA (For dynamic https proxy certs)

    There are UIs for creating the VPN CAs and the Proxy CAs, but I cannot find a way to recreate the WebAdmin CA.
  • 0 in reply to CJL
    CJL, you are correct!

    Because of Tom Kistner's comment, and the fact that I've never experienced any problems with the WebAdmin CA, I assumed that the CA was regenerated along with the Certificate.  That apparently is not so.  I just did an experiment with our test box, and it still has the same CA that was created when I set up the device in February.  I also tried Dilandau's suggestion, and the webadmin CA remained unchanged.  Even though I was pretty sure it wouldn't make any difference, I then tried changing the Proxy CA, and that had no effect.

    OK, so if the only use of the WebAdmin CA is to sign the WebAdmin Cert, then what benefit do I get from changing the CA?

    Cheers - Bob
  • 0 in reply to BAlfson
    CJL, you are correct!

    Because of Tom Kistner's comment, and the fact that I've never experienced any problems with the WebAdmin CA, I assumed that the CA was regenerated along with the Certificate.  That apparently is not so.  I just did an experiment with our test box, and it still has the same CA that was created when I set up the device in February.  I also tried Dilandau's suggestion, and the webadmin CA remained unchanged.  Even though I was pretty sure it wouldn't make any difference, I then tried changing the Proxy CA, and that had no effect.

    OK, so if the only use of the WebAdmin CA is to sign the WebAdmin Cert, then what benefit do I get from changing the CA?

    Cheers - Bob


    For starters, it's not just WebAdmin, it's User Portal, too.

    My WebAdmin CA is generates MD5 signatures.  Hopefully Astaro is phasing out MD5.

    I don't see any reason, from this side of the interface, to preclude administrators from recreating or uploading their own PKCS12 CA for WebAdmin/User Portal cert generation.  It could be intertwined in the configuration in ways I don't know about.

    If I wanted to obtain a certificate for User Portal from a provider, there ought to be an interface available to upload it.  I'm pretty sure I found where to place it in chroot-httpd but that's a hack.

    Guess this isn't really a bug, but a feature request.
Reply
  • 0 in reply to BAlfson
    CJL, you are correct!

    Because of Tom Kistner's comment, and the fact that I've never experienced any problems with the WebAdmin CA, I assumed that the CA was regenerated along with the Certificate.  That apparently is not so.  I just did an experiment with our test box, and it still has the same CA that was created when I set up the device in February.  I also tried Dilandau's suggestion, and the webadmin CA remained unchanged.  Even though I was pretty sure it wouldn't make any difference, I then tried changing the Proxy CA, and that had no effect.

    OK, so if the only use of the WebAdmin CA is to sign the WebAdmin Cert, then what benefit do I get from changing the CA?

    Cheers - Bob


    For starters, it's not just WebAdmin, it's User Portal, too.

    My WebAdmin CA is generates MD5 signatures.  Hopefully Astaro is phasing out MD5.

    I don't see any reason, from this side of the interface, to preclude administrators from recreating or uploading their own PKCS12 CA for WebAdmin/User Portal cert generation.  It could be intertwined in the configuration in ways I don't know about.

    If I wanted to obtain a certificate for User Portal from a provider, there ought to be an interface available to upload it.  I'm pretty sure I found where to place it in chroot-httpd but that's a hack.

    Guess this isn't really a bug, but a feature request.
Children
No Data