Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3649 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange Certifikate Errors (SSL VPN)

Holy
Hello i have a problem,

We use with our Sophos UTM a Wildcard Certifikate for WAF and Signing CA.

Everything works fine, but SSL VPN is just inpossible to use.

i tried to use a Local Cert for Server and the Wildcard Cert for Server , doesn´t matter the Client is not able to Connect.

Here is the Debug log of client site. It seems that there is a problem with our Certifikate.

Tue Mar 03 14:18:26 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 03 14:18:27 2015 Socket Buffers: R=[8192->8192] S=[64512->64512]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,RESOLVE,
Tue Mar 03 14:18:27 2015 Attempting to establish TCP connection with [AF_INET]217.263.222.291:443 [nonblock]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,TCP_CONNECT,,,
Tue Mar 03 14:18:28 2015 TCP connection established with [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link local: [undef]
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link remote: [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,WAIT,,,
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,AUTH,,,
Tue Mar 03 14:18:28 2015 TLS: Initial packet from [AF_INET]217.263.222.291:443, sid=910de15f 3ce9fe6a
Tue Mar 03 14:18:28 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 03 14:18:28 2015 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CN=ffc.example.de, emailAddress=test@example.de
Tue Mar 03 14:18:28 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Mar 03 14:18:28 2015 TLS Error: TLS object -> incoming plaintext read error
Tue Mar 03 14:18:28 2015 TLS Error: TLS handshake failed
Tue Mar 03 14:18:28 2015 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 03 14:18:28 2015 SIGUSR1[soft,tls-error] received, process restarting
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,RECONNECTING,tls-error,,
Tue Mar 03 14:18:28 2015 Restart pause, 5 second(s)
Tue Mar 03 14:18:33 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Anyone an idea ? can i use the local CA to Sign Certifikates? or can i have only 1 Signing CA? we need SSL VPN urgently.

Thank you


This thread was automatically locked due to age.
Parents
  • 0
    I think the solution will be easy, but we still need to know a bit more to decide which easy solution to use.  On the 'Advanced' tab of SSL VPN', what certificate are you using for 'Server certificate' and was it signed by the old or new CA?  Do you also still have the old CA?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello Balfson, it would be great if the solution were easy [:)]

    on the "Advanced" tab i tried different Certificates. tried the local one signed by the old CA and a new one Signed by the new ca.

    i do steel have the old CA in the list of CA´s

    I think the solution will be easy, but we still need to know a bit more to decide which easy solution to use.  On the 'Advanced' tab of SSL VPN', what certificate are you using for 'Server certificate' and was it signed by the old or new CA?  Do you also still have the old CA?

    Cheers - Bob
Reply
  • 0 in reply to BAlfson
    Hello Balfson, it would be great if the solution were easy [:)]

    on the "Advanced" tab i tried different Certificates. tried the local one signed by the old CA and a new one Signed by the new ca.

    i do steel have the old CA in the list of CA´s

    I think the solution will be easy, but we still need to know a bit more to decide which easy solution to use.  On the 'Advanced' tab of SSL VPN', what certificate are you using for 'Server certificate' and was it signed by the old or new CA?  Do you also still have the old CA?

    Cheers - Bob
Children
No Data
Unfiltered HTML