Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 36 replies
  • Subscribers 1 subscriber
  • Views 57522 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Not working after upgrade to UTM 9

TheExpert
Hello together,

I upgraded from ASG 8.305 to UTM 9. When wanting to connect via SSL VPN I see the following error in the Log of the SSL VPN client which is updated, too:

VERIFY X509NAME ERROR: C=de, L=***, O=*** Mössner, CN=***, emailAddress=***, must be C=de, L=***, O=*** Mössner, CN=***, emailAddress=***

You can see that there is difference for the "O" field. The certificates were imported from the ASG installation where the SSL VPN worked fine.

When looking into the certificates on the UTM 9 and on the client, the "O" field looks good, there is no problem with vowel mutation.

So my question is: Which certificate is presented with the wrong information? Is it the certifacte of the SSL VPN client or is it the CA certificate of the UTM 9 and what can I do to correct the issue without resigning the HTTPS proxy certificate and all the other certificates?

Thank you

TheExpert


This thread was automatically locked due to age.
Parents
  • 0
    Then it must be the server certificate. Please check that one, too.
  • 0 in reply to d12fk
    Then it must be the server certificate. Please check that one, too.


    Thanks for the hint, i created a server certificated with a CN and now it works.

    We have many UTM deployments  and there was never a need to fill out the CN field in the SSL Server certificates, it seems like this "feature" [:@] was indroduced with openVPN version 2.3.1

    from the OpenVPN Changelog:
    Heiko Hund (5):
          close more file descriptors on exec
          Ignore UTF-8 byte order mark
          reintroduce --no-name-remapping option
          make --tls-remote compatible with pre 2.3 configs
          add new option for X.509 name verification


    unfortunatelly Sophos did not implemented this as "an option" but more than a default setting!


    The sitation now for most of our customers is, that they need to reissue the server certificate before they upgraded their VPN client's. currently users with a pre-2.3.1 client can still connect, while others who allready upgraded receive the error message....  so at the end, all have to upgrade their openvpn clients..
Reply
  • 0 in reply to d12fk
    Then it must be the server certificate. Please check that one, too.


    Thanks for the hint, i created a server certificated with a CN and now it works.

    We have many UTM deployments  and there was never a need to fill out the CN field in the SSL Server certificates, it seems like this "feature" [:@] was indroduced with openVPN version 2.3.1

    from the OpenVPN Changelog:
    Heiko Hund (5):
          close more file descriptors on exec
          Ignore UTF-8 byte order mark
          reintroduce --no-name-remapping option
          make --tls-remote compatible with pre 2.3 configs
          add new option for X.509 name verification


    unfortunatelly Sophos did not implemented this as "an option" but more than a default setting!


    The sitation now for most of our customers is, that they need to reissue the server certificate before they upgraded their VPN client's. currently users with a pre-2.3.1 client can still connect, while others who allready upgraded receive the error message....  so at the end, all have to upgrade their openvpn clients..
Children
No Data
Unfiltered HTML