Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 1 subscriber
  • Views 4742 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need help getting Sophos UTM to act as subordinate ca

newone
Hi there,
I'm trying to get my UTM9 to act as a subordinate ca from my primary (windows) ca.
(sidestory: heartbleed, deactivated all vpn (and other vuln services...), got the latest up2date updates, now reactivating and recreating all certs. having two ca's wasn't a "optimal configuration" so I decided to try to get the UTM9 act as sub-ca)

The primary question is:
"Is there a way to have the utm configured as sub-ca and avoid the hassle with chaining certificates and tempering with config files I'm describing below?"
If its NOT possible, could you please help me by answering the questions below?

This are the steps I did so far:
I've created the SUB CA certificate for the utm(on windows side) and imported it under:
"Remote Access -> Certificate Management -> Certificate Authority"

After the import all user certificates were automatically recreated (showing "regenerated" in the name).

The next step I did was to import the ROOT CA public key as "verification ca"
also under:
"Remote Access -> Certificate Management -> Certificate Authority"

After I did those steps, I visited the client portal with a client laptop and downloaded the new cert/conf file and applied it.
Configuration was successfully changed on the client side, I checked the config dir manually and found the new client cert and the subordinate-ca certificate.

But, I'm not able to connect! I've tried with Linux and with Windows Clients, here is what I did:

On Linux:
When I tried first I got a:
[...]
VERIFY ERROR: depth=1, error=unable to get local issuer certificate: "CENSORED"
[...]
so I had to build a cert chain for the ca cert: 
'cat sub-ca.crt ca.crt > ca_chain.crt' 
, and point to it with the cert option inside the client config.

Then I received a "VERIFIY X509NAME ERROR" from OpenVPN.
-> This could be resolved by altering the config manually so that the tls-remote option was matching.

Now I get the following error: (on server side, client sees only connection reset)
[...]
"VERIFY ERROR: depth=2, error=self signed certificate in certificate chain:"CENSORED" "
[...]

QUESTION: Is it because my root ca is not signed by another ca?
QUESTION: Is it possible to circumvent that by adding my ca to some sort of trusted ca list? (IF SO: PLS TELL ME HOW [:)] )


On windows: 
I get the following error(probably because of a incomplete chain. ... as I don't know how I do certificate chaining on windows):
[...]
VERIFY ERROR: depth=1, error=unable to get local issuer certificate: "CENSORED"
TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
TLS Error: TLS object -> incoming plaintext read error
TLS Error: TLS handshake failed
Fatal TLS error (check_tls_errors_co), restarting
SIGUSR1[soft,tls-error] received, process restarting
MANAGEMENT: >STATE:1397567292,RECONNECTING,tls-error,,
[...]
QUESTION: Can I use the same ca_chain.crt file I created on linux?

I tried to be as accurate as possible with the description what I did, I hope it's sufficient. Please let me know if I missed some important information.
Thanks in advance for your help.

Kind regards


This thread was automatically locked due to age.
  • 0
    You were worried about having two CAs where?

    Is the override hostname on the 'Settings' tab the same as the FQDN in the cert selected on the 'Advanced' tab?

    If you want to continue to fight this instead of just having the UTM generate its own new CA, then please show the logs from both sides for a single connection attempt. 

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi BAlfson,
    thanks for your reply. 
    Currently I'm at university and I don't have a VPN atm. (... [:)] )
    So I can look at the logs / gui when I get home again.
    I was "worried" having two CAs in my Network.
    I thought it would be neat ho have the possibility to use the given "Model" of a subordinate ca, and having one CRL distribution point. So if the next security incident occurs i could also revoke the sophos subca cert.

    BUT: Maybe what I posted above is sufficient?
    The case I described last with my linux client is what u asked for...it may be a bit sparse, but the actual error is included.

    Linux client log:
    No errors were reported on the client! (just saw a connection reset)

    on the server side:
    "VERIFY ERROR: depth=2, error=self signed certificate in certificate chain:"CENSORED" "

    But, of course , I can send you a complete log via pm when I get home.
    but i really don't want to post it public.

    Kind regards
  • 0 in reply to newone
    Sorry that it took me so long!

    You asked:
    Is the override hostname on the 'Settings' tab the same as the FQDN in the cert selected on the 'Advanced' tab?
    - There is no override hostname set. (And was never, had a perfect working VPN. So I guess I still don't need it.)

    I'm going to send u a log of the connection attempt via pm in a few minutes.

    Thanks for your help in advance!
  • 0
    It's hard to tell because the logs were modified so I couldn't see if the client was even presenting a certificate that the server expected.  Have you confirmed that the new certs are signed by the new CA?

    What happens if you completely delete the Sophos SSL VPN client and the directory with the existing certificates, and then reinstall the client configuration on the PC?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi there,
    thanks for your answer!
    To answer your questions:

    What happens if you completely delete the Sophos SSL VPN client and the directory with the existing certificates, and then reinstall the client configuration on the PC?

    - ..."Configuration was successfully changed on the client side, I checked the config dir manually and found the new client cert and the subordinate-ca certificate."...

    I deleted the entire config dir before "updating" the config. 
    I assume it's what you wanted me to do?

    BUT: The "config" that clients can download from the webinterface contain only the subordinate ca and the client certs, so basically the cert chain delivered to the client is "broken". (have a read at my initial post, I described what I had to to to build a chain on linux)

    "Have you confirmed that the new certs are signed by the new CA?"
    - Yes, I did. It's signed by the new SUBCA.

    Thanks for your help!
    Kind regards
  • 0
    Have you also uploaded the master CA into the UTM?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Have you also uploaded the master CA into the UTM?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.

    Hi there,
    thanks for the reply. I think I did that. I described this in my initial post.
    Or is there a different way of doing that?
    What I did:
    [...]
    The next step I did was to import the ROOT CA public key as "verification ca"
    also under:
    "Remote Access -> Certificate Management -> Certificate Authority"
    [...]

    Thanks, again, for helping me.
    Kind regards
  • 0 in reply to newone
    Hi there,
    I'm still trying to get things running.
    Please could someone help me with this? 
    For me it feels like I SOMEHOW have to convince the "utm-os" that my root ca is good.
    Please... Could someone tell me how? I don't know how things got implemented "down there". I really would love to be able to use my VPN again.
    Kind regards
  • 0
    Hi ,

    You can always revert to a backup from the day it was working then do any changes you need.

    All my best .
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Hi there!
    Thanks for your reply. Revert to last functional backup is a option, but for now I'd like to try get this setup running.
    BUT I really need to know :

    a) if its a "supported" configuration (OR:...has somebody actually managed to do this?)

    b) where can i add my root-ca cert as trusted ca? Every Linux System handles that differently and I really don't have a clue how its handled inside "utm-linux". 

    Thanks for your help in advance!
    Kind regards
Unfiltered HTML