Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 13496 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Will regenerating CA void the user's SSL VPN certificates?

ppadler
Good morning everyone,
So I have the problem described here (iOS5 refusing Cisco VPN client connection to ASG 8.202), obviously because the VPN CA certificate presented in 

Remote Access -> Certificate Management -> Certificate Authority 


has only a 1024 bit modulus. iOS5 seems to require that to be 2048 bits long (as well as having only SHA1 fingerprints instead of MD5 but we already fulfill that requirement).

Now the only way out seems to be regenerating the CA cert. I can do that from the "Advanced" tab.:

Here you can regenerate the VPN signing CA that was created during the initial setup of the unit. The VPN signing CA is the certificate authority with which digital certificates are signed that are used for remote access and site-to-site VPN connections. To ensure that VPN connections that use the old VPN signing CA are still working after the exchange of the signing CA, the old VPN signing CA will be kept as verification CA.

Caution! The device and all user certificates will be regenerated with the new signing CA. This may break current Site-to-Site VPN and Roadwarrior connections.

 (emphasize mine)

The two parts in bold seem to contradict each other.

We have several SSL-VPN-Users (OpenVPN) that rely on this connection. Will their ability to connect break once I regenerate the CA and until they re-download their configuration from the VPN user portal?

-- Paul


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob, thanks for your answer. I gave it a shot and - failed:

    Tue Nov 22 17:03:35 2011 TCPv4_CLIENT link local: [undef]
    Tue Nov 22 17:03:35 2011 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=de/L=xx/O=xx/CN=xx/emailAddress=xx
    Tue Nov 22 17:03:35 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Nov 22 17:03:35 2011 TLS Error: TLS object -> incoming plaintext read error
    Tue Nov 22 17:03:35 2011 TLS Error: TLS handshake failed
    Tue Nov 22 17:03:35 2011 Fatal TLS error (check_tls_errors_co), restarting
    Tue Nov 22 17:03:35 2011 TCP/UDP: Closing socket
    Tue Nov 22 17:03:35 2011 SIGUSR1[soft,tls-error] received, process restarting
    Tue Nov 22 17:03:35 2011 Restart pause, 5 second(s)

    Using the update-installer from the User Portal I reinstalled the configuration package on a client and it at least now works again.
    Now I'll clear some time in my calendar for user help requests...
    --Paul
Reply
  • 0
    Hi Bob, thanks for your answer. I gave it a shot and - failed:

    Tue Nov 22 17:03:35 2011 TCPv4_CLIENT link local: [undef]
    Tue Nov 22 17:03:35 2011 VERIFY ERROR: depth=1, error=self signed certificate in certificate chain: /C=de/L=xx/O=xx/CN=xx/emailAddress=xx
    Tue Nov 22 17:03:35 2011 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Nov 22 17:03:35 2011 TLS Error: TLS object -> incoming plaintext read error
    Tue Nov 22 17:03:35 2011 TLS Error: TLS handshake failed
    Tue Nov 22 17:03:35 2011 Fatal TLS error (check_tls_errors_co), restarting
    Tue Nov 22 17:03:35 2011 TCP/UDP: Closing socket
    Tue Nov 22 17:03:35 2011 SIGUSR1[soft,tls-error] received, process restarting
    Tue Nov 22 17:03:35 2011 Restart pause, 5 second(s)

    Using the update-installer from the User Portal I reinstalled the configuration package on a client and it at least now works again.
    Now I'll clear some time in my calendar for user help requests...
    --Paul
Children
No Data