Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1291 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Certificate does not provide chain

OlaP
Hi,
I've issued a sub CA certificate from the central CA and installed it on the UTM. Then I generated a new WebAdmin certificate using the UTM. The problem is that when i browse to the UTM portal it throws a certificate error - the certificate does not contain a chain leading back to the central CA and therefore it is not trusted. (Central CA is installed on client computers as trusted root).

I've tested adding the sub CA certificate to the certificate store on a computer, and then the complete chain back to the central CA is displayed in the browser. 

Can I avoid doing this or must I distribute the sub CA cert to the clients?

Regards,
Ola


This thread was automatically locked due to age.
  • 0
    I've issued a sub CA certificate from the central CA and installed it on the UTM. Then I generated a new WebAdmin certificate using the UTM.

    Ola, I'm not sure that I understand what you did, but what is the motivation for replacing the CA in the UTM?

    Cheers - Bob
  • 0
    First - this is for use in my home lab - no animals are hurt. I have setup a Windows AD environment with a dedicated central CA server. The certificate of this CA is added to all clients, servers, ipads, phones as a trusted root certificate. I'm currently running a MS TMG server as a proxy/reverse proxy and want to replace this with UTM. On the TMG i opted for the lazy variant and issued it with a wildcard certificate to the entire domain. On the UTM it looks to me that if the UTM CA is trusted, it can issue further certificates for each webserver that it's protecting and assign each certificate to the binding? So I tried that with the WebAdmin certificate first, as a test, but when I browse to the portal the certificate does not contain the chain back to the central CA, unless the sub CA public cert is also installed on the client.

    Hmm, did any of that make sense? [:)]

    Ola
  • 0
    no animals are hurt

    [[[:D]]] [[[:D]]] [[[:D]]]

    Hmm, did any of that make sense?

    Yes, but I still don't understand what you hoped to gain by replacing the CA.  Is this an issue with the Web Filtering proxy or with the Webserver Protection reverse-proxy or ???

    Cheers - Bob