Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3653 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange Certifikate Errors (SSL VPN)

Holy
Hello i have a problem,

We use with our Sophos UTM a Wildcard Certifikate for WAF and Signing CA.

Everything works fine, but SSL VPN is just inpossible to use.

i tried to use a Local Cert for Server and the Wildcard Cert for Server , doesn´t matter the Client is not able to Connect.

Here is the Debug log of client site. It seems that there is a problem with our Certifikate.

Tue Mar 03 14:18:26 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 03 14:18:27 2015 Socket Buffers: R=[8192->8192] S=[64512->64512]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,RESOLVE,
Tue Mar 03 14:18:27 2015 Attempting to establish TCP connection with [AF_INET]217.263.222.291:443 [nonblock]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,TCP_CONNECT,,,
Tue Mar 03 14:18:28 2015 TCP connection established with [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link local: [undef]
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link remote: [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,WAIT,,,
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,AUTH,,,
Tue Mar 03 14:18:28 2015 TLS: Initial packet from [AF_INET]217.263.222.291:443, sid=910de15f 3ce9fe6a
Tue Mar 03 14:18:28 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 03 14:18:28 2015 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CN=ffc.example.de, emailAddress=test@example.de
Tue Mar 03 14:18:28 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Mar 03 14:18:28 2015 TLS Error: TLS object -> incoming plaintext read error
Tue Mar 03 14:18:28 2015 TLS Error: TLS handshake failed
Tue Mar 03 14:18:28 2015 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 03 14:18:28 2015 SIGUSR1[soft,tls-error] received, process restarting
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,RECONNECTING,tls-error,,
Tue Mar 03 14:18:28 2015 Restart pause, 5 second(s)
Tue Mar 03 14:18:33 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Anyone an idea ? can i use the local CA to Sign Certifikates? or can i have only 1 Signing CA? we need SSL VPN urgently.

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    Holy, I don't understand.  Have you somehow replaced the "VPN Signing CA" in the UTM with a Signing CA that you bought?  Or have you manually created certificates for the users, uploaded them and associated them with your users?  Or, are you trying to use a third-party cert in 'Server certificate' on the 'Advanced' tab of SSL VPN?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello, Yes we have replaced the VPN Signing CA with a Signing CA of us. 

    We use it to create Certifikates for our Servers protected by WAF

    Holy, I don't understand.  Have you somehow replaced the "VPN Signing CA" in the UTM with a Signing CA that you bought?  Or have you manually created certificates for the users, uploaded them and associated them with your users?  Or, are you trying to use a third-party cert in 'Server certificate' on the 'Advanced' tab of SSL VPN?

    Cheers - Bob
Reply
  • 0 in reply to BAlfson
    Hello, Yes we have replaced the VPN Signing CA with a Signing CA of us. 

    We use it to create Certifikates for our Servers protected by WAF

    Holy, I don't understand.  Have you somehow replaced the "VPN Signing CA" in the UTM with a Signing CA that you bought?  Or have you manually created certificates for the users, uploaded them and associated them with your users?  Or, are you trying to use a third-party cert in 'Server certificate' on the 'Advanced' tab of SSL VPN?

    Cheers - Bob
Children
No Data
Unfiltered HTML