Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 13496 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Will regenerating CA void the user's SSL VPN certificates?

ppadler
Good morning everyone,
So I have the problem described here (iOS5 refusing Cisco VPN client connection to ASG 8.202), obviously because the VPN CA certificate presented in 

Remote Access -> Certificate Management -> Certificate Authority 


has only a 1024 bit modulus. iOS5 seems to require that to be 2048 bits long (as well as having only SHA1 fingerprints instead of MD5 but we already fulfill that requirement).

Now the only way out seems to be regenerating the CA cert. I can do that from the "Advanced" tab.:

Here you can regenerate the VPN signing CA that was created during the initial setup of the unit. The VPN signing CA is the certificate authority with which digital certificates are signed that are used for remote access and site-to-site VPN connections. To ensure that VPN connections that use the old VPN signing CA are still working after the exchange of the signing CA, the old VPN signing CA will be kept as verification CA.

Caution! The device and all user certificates will be regenerated with the new signing CA. This may break current Site-to-Site VPN and Roadwarrior connections.

 (emphasize mine)

The two parts in bold seem to contradict each other.

We have several SSL-VPN-Users (OpenVPN) that rely on this connection. Will their ability to connect break once I regenerate the CA and until they re-download their configuration from the VPN user portal?

-- Paul


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BAlfson
    And you didn't change the 'Server certificate' on the 'Advanced' tab of SSL?  I don't understand why that should happen.  Thanks for trying it.

    Didn't answer that yet:
    I personally did not do anything in the SSL page. But now if I look at it, the CA-regeneration seems to have changed the
    Remote Access -> SSL -> Adanced -> Server Certificate
    to "Local X509 Cert (regenerated)".

    So I suggest a warning to the CA regeneration text that the SSL VPN Server certificate will be changed and therefore any client cofiguration will break until redownload.

    If anyone has an idea for how I can get the iOS-compatible 2048bit CA certificate generated, that would be real helpful.

    Thanks for all the help, Paul