Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3425 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Certificate Self-Issued

Jack_F
Astaro 220 at the border with some services behind it such as mail, web, application and VPN.  Using SSL for VPN with a self signed certificate.  When the network is scanned for vulnerabilities the resultant report report has flagged all of the public IP's (websites, mail, application) as having self signed certificates.  Only the VPN has a self signed certificate.  Can not figure out how this so and our Astaro people who set things up have not responded to our inquires and we do not have premium support so I would use some assistance from people on this board who may have time to help resolve  All of the IP's are responding with this when scanned:   openssl s_client -connect ***.XX.XX.XX:465 CONNECTED(00000003) depth=0 /C=DE/ST=BW/L=Karlsruhe/O=Astaro AG/OU=Mail Gateway/CN=asg.local/emailAddress=info@astaro.com verify error:num=18:self signed certificate


This thread was automatically locked due to age.
  • 0
    Hi, Jack, and welcome to the User BB.  In fact, your reseller should submit a support request for you.  But, there are some questions...

    What version of Astaro?  Are your SSL servers behind Astaro's Web Application Security or connected via DNAT?

    If this is for PCI compliance, I'm surprised that this was anything they "docked" you for, but it's been two years since I looked at that, so I could be forgetting...

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello Bob and thanks  Reseller has not been returning calls or emails.  Kind of frustrating......note to readers, pay for premium account as this is the second reseller involved with this product that has not responded.  Were running on 7.510.  I do not see web app security in the interface so I'll answer no to that and will assume it's in ver 8 of the software.  There are entries for DNAT......but I do not see entries in there for all of the items picked up in the scan report.  Yes it's a scan for PCI compliance, they report everything and you use the report to see how well you are doing and if needed fix issues.  We have this and another listed as high and we can no longer wait on the reseller to look into it (4 months).
  • 0
    OK, that means that your internal servers are being reached via DNAT rules.  In that case, it's the SSL certificates on them that are out-of-sync with your configuration.  It depends on the specific issue you're having, but you may be able to build a DMZ with public IPs, get rid of the DNATs and use public IPs on the servers.

    Of course, it could be that you have self-signed certs on them, or some other real problem.  In any case, it's only the Astaro VPN cert that involves just the Astaro.

    Cheers - Bob
    PS I sent you a PM.
  • 0
    I didn't read the supplied line in the first post well enough.  It clearly indicates port 465, SMTP-SSL, not port 443.

    In the Astaro, traffic "captured" by a DNAT is not considered by any proxy, and traffic handled by a proxy is not considered by any manual route or firewall (packet filter) rule.

    It's unlikely that the DNATs use "Any" service, so they don't capture port 465 traffic before the SMTP Proxy gets it.  The SMTP Proxy "listens" for email on the interface, not on a single IP, so that's why the scan showed the same result for all of the IP addresses on the External interface.

    The solution is to upload a valid PKCS#12 file in 'Certificate Management' and to select the certificate as the 'TLS certificate' on the 'Advanced' tab of 'SMTP'.

    Really, though, given the way an MTA uses TLS, this was a false positive.

    Cheers - Bob
  • 0 in reply to Jack_F
    Hello Bob and thanks  Reseller has not been returning calls or emails.  Kind of frustrating......note to readers, pay for premium account as this is the second reseller involved with this product that has not responded.


    Jack, I recommend that you call Astaro Astaro Worldwide Offices  .... let them know who your current reseller is.  As part of our reseller agreement (my company is one), we have to provide the 1st contact for our customers with Standard Support ... if they are not honoring their reseller agreement with Astaro, Astaro should be made aware of it.  There's a lot of "box pushers" on the web, etc. that have no interest in doing anything other than pushing a box... good resellers provide a solution and someone to call.