Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3647 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange Certifikate Errors (SSL VPN)

Holy
Hello i have a problem,

We use with our Sophos UTM a Wildcard Certifikate for WAF and Signing CA.

Everything works fine, but SSL VPN is just inpossible to use.

i tried to use a Local Cert for Server and the Wildcard Cert for Server , doesn´t matter the Client is not able to Connect.

Here is the Debug log of client site. It seems that there is a problem with our Certifikate.

Tue Mar 03 14:18:26 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 03 14:18:27 2015 Socket Buffers: R=[8192->8192] S=[64512->64512]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,RESOLVE,
Tue Mar 03 14:18:27 2015 Attempting to establish TCP connection with [AF_INET]217.263.222.291:443 [nonblock]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,TCP_CONNECT,,,
Tue Mar 03 14:18:28 2015 TCP connection established with [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link local: [undef]
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link remote: [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,WAIT,,,
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,AUTH,,,
Tue Mar 03 14:18:28 2015 TLS: Initial packet from [AF_INET]217.263.222.291:443, sid=910de15f 3ce9fe6a
Tue Mar 03 14:18:28 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 03 14:18:28 2015 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CN=ffc.example.de, emailAddress=test@example.de
Tue Mar 03 14:18:28 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Mar 03 14:18:28 2015 TLS Error: TLS object -> incoming plaintext read error
Tue Mar 03 14:18:28 2015 TLS Error: TLS handshake failed
Tue Mar 03 14:18:28 2015 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 03 14:18:28 2015 SIGUSR1[soft,tls-error] received, process restarting
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,RECONNECTING,tls-error,,
Tue Mar 03 14:18:28 2015 Restart pause, 5 second(s)
Tue Mar 03 14:18:33 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Anyone an idea ? can i use the local CA to Sign Certifikates? or can i have only 1 Signing CA? we need SSL VPN urgently.

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    The FQDN used to reach the SSL VPN server must be the same as the 'Override hostname' on the 'Settings' tab and that must match the 'VPNID[Hostname]' in the certificate you choose.  It sounds like you were trying to make this more complicated.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello,

    thank you i tried it, but still get this errors.

    Is it possible to disable Certifikates vor SSL VPN and only authenticate through username + password ?

    The FQDN used to reach the SSL VPN server must be the same as the 'Override hostname' on the 'Settings' tab and that must match the 'VPNI[Hostname]' in the certificate you choose.  It sounds like you were trying to make this more complicated.

    Cheers - Bob
Reply
  • 0 in reply to BAlfson
    Hello,

    thank you i tried it, but still get this errors.

    Is it possible to disable Certifikates vor SSL VPN and only authenticate through username + password ?

    The FQDN used to reach the SSL VPN server must be the same as the 'Override hostname' on the 'Settings' tab and that must match the 'VPNI[Hostname]' in the certificate you choose.  It sounds like you were trying to make this more complicated.

    Cheers - Bob
Children
  • 0 in reply to Holy
    Hello,

    thank you i tried it, but still get this errors.


    After changing the configuration you have to download and deploy new SSL client VPN configuration for users.
  • 0 in reply to vilic
    Hello,

    yep i know it and i did it. no succsess

    it something wrong with a customer CA i guess.

    After changing the configuration you have to download and deploy new SSL client VPN configuration for users.
  • 0 in reply to Holy
    UPDATE:

    so... according Sophos, SSL VPN wont work if Certificates were created by a Intermediate CA. 

    it only works if Certifikates were created by a Root CA.

    We Use The Intermediate CA to create our WEB Server Certifikates for WAF. Sophos has suggested to open a Feature request...


    seriously it´s ridiculous. We cant use SSL VPN now and our Road Warriors are pissed off.

    Maybe someone could suggest a workaround? Do we have to use this damn Certificates? Can´t we just authenticate against LDAP and maybe a OTP token?
Unfiltered HTML