Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3427 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Certificate Self-Issued

Jack_F
Astaro 220 at the border with some services behind it such as mail, web, application and VPN.  Using SSL for VPN with a self signed certificate.  When the network is scanned for vulnerabilities the resultant report report has flagged all of the public IP's (websites, mail, application) as having self signed certificates.  Only the VPN has a self signed certificate.  Can not figure out how this so and our Astaro people who set things up have not responded to our inquires and we do not have premium support so I would use some assistance from people on this board who may have time to help resolve  All of the IP's are responding with this when scanned:   openssl s_client -connect ***.XX.XX.XX:465 CONNECTED(00000003) depth=0 /C=DE/ST=BW/L=Karlsruhe/O=Astaro AG/OU=Mail Gateway/CN=asg.local/emailAddress=info@astaro.com verify error:num=18:self signed certificate


This thread was automatically locked due to age.
Parents
  • 0
    I didn't read the supplied line in the first post well enough.  It clearly indicates port 465, SMTP-SSL, not port 443.

    In the Astaro, traffic "captured" by a DNAT is not considered by any proxy, and traffic handled by a proxy is not considered by any manual route or firewall (packet filter) rule.

    It's unlikely that the DNATs use "Any" service, so they don't capture port 465 traffic before the SMTP Proxy gets it.  The SMTP Proxy "listens" for email on the interface, not on a single IP, so that's why the scan showed the same result for all of the IP addresses on the External interface.

    The solution is to upload a valid PKCS#12 file in 'Certificate Management' and to select the certificate as the 'TLS certificate' on the 'Advanced' tab of 'SMTP'.

    Really, though, given the way an MTA uses TLS, this was a false positive.

    Cheers - Bob
Reply
  • 0
    I didn't read the supplied line in the first post well enough.  It clearly indicates port 465, SMTP-SSL, not port 443.

    In the Astaro, traffic "captured" by a DNAT is not considered by any proxy, and traffic handled by a proxy is not considered by any manual route or firewall (packet filter) rule.

    It's unlikely that the DNATs use "Any" service, so they don't capture port 465 traffic before the SMTP Proxy gets it.  The SMTP Proxy "listens" for email on the interface, not on a single IP, so that's why the scan showed the same result for all of the IP addresses on the External interface.

    The solution is to upload a valid PKCS#12 file in 'Certificate Management' and to select the certificate as the 'TLS certificate' on the 'Advanced' tab of 'SMTP'.

    Really, though, given the way an MTA uses TLS, this was a false positive.

    Cheers - Bob
Children
No Data