Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 3654 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Strange Certifikate Errors (SSL VPN)

Holy
Hello i have a problem,

We use with our Sophos UTM a Wildcard Certifikate for WAF and Signing CA.

Everything works fine, but SSL VPN is just inpossible to use.

i tried to use a Local Cert for Server and the Wildcard Cert for Server , doesn´t matter the Client is not able to Connect.

Here is the Debug log of client site. It seems that there is a problem with our Certifikate.

Tue Mar 03 14:18:26 2015 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
Tue Mar 03 14:18:27 2015 Socket Buffers: R=[8192->8192] S=[64512->64512]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,RESOLVE,
Tue Mar 03 14:18:27 2015 Attempting to establish TCP connection with [AF_INET]217.263.222.291:443 [nonblock]
Tue Mar 03 14:18:27 2015 MANAGEMENT: >STATE:1425388707,TCP_CONNECT,,,
Tue Mar 03 14:18:28 2015 TCP connection established with [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link local: [undef]
Tue Mar 03 14:18:28 2015 TCPv4_CLIENT link remote: [AF_INET]217.263.222.291:443
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,WAIT,,,
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,AUTH,,,
Tue Mar 03 14:18:28 2015 TLS: Initial packet from [AF_INET]217.263.222.291:443, sid=910de15f 3ce9fe6a
Tue Mar 03 14:18:28 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Tue Mar 03 14:18:28 2015 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CN=ffc.example.de, emailAddress=test@example.de
Tue Mar 03 14:18:28 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Tue Mar 03 14:18:28 2015 TLS Error: TLS object -> incoming plaintext read error
Tue Mar 03 14:18:28 2015 TLS Error: TLS handshake failed
Tue Mar 03 14:18:28 2015 Fatal TLS error (check_tls_errors_co), restarting
Tue Mar 03 14:18:28 2015 SIGUSR1[soft,tls-error] received, process restarting
Tue Mar 03 14:18:28 2015 MANAGEMENT: >STATE:1425388708,RECONNECTING,tls-error,,
Tue Mar 03 14:18:28 2015 Restart pause, 5 second(s)
Tue Mar 03 14:18:33 2015 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).

Anyone an idea ? can i use the local CA to Sign Certifikates? or can i have only 1 Signing CA? we need SSL VPN urgently.

Thank you


This thread was automatically locked due to age.
  • 0
    The FQDN used to reach the SSL VPN server must be the same as the 'Override hostname' on the 'Settings' tab and that must match the 'VPNID[Hostname]' in the certificate you choose.  It sounds like you were trying to make this more complicated.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello,

    thank you i tried it, but still get this errors.

    Is it possible to disable Certifikates vor SSL VPN and only authenticate through username + password ?

    The FQDN used to reach the SSL VPN server must be the same as the 'Override hostname' on the 'Settings' tab and that must match the 'VPNI[Hostname]' in the certificate you choose.  It sounds like you were trying to make this more complicated.

    Cheers - Bob
  • 0 in reply to Holy
    Hello,

    thank you i tried it, but still get this errors.


    After changing the configuration you have to download and deploy new SSL client VPN configuration for users.
  • 0 in reply to vilic
    Hello,

    yep i know it and i did it. no succsess

    it something wrong with a customer CA i guess.

    After changing the configuration you have to download and deploy new SSL client VPN configuration for users.
  • 0 in reply to Holy
    UPDATE:

    so... according Sophos, SSL VPN wont work if Certificates were created by a Intermediate CA. 

    it only works if Certifikates were created by a Root CA.

    We Use The Intermediate CA to create our WEB Server Certifikates for WAF. Sophos has suggested to open a Feature request...


    seriously it´s ridiculous. We cant use SSL VPN now and our Road Warriors are pissed off.

    Maybe someone could suggest a workaround? Do we have to use this damn Certificates? Can´t we just authenticate against LDAP and maybe a OTP token?
  • 0
    Holy, I don't understand.  Have you somehow replaced the "VPN Signing CA" in the UTM with a Signing CA that you bought?  Or have you manually created certificates for the users, uploaded them and associated them with your users?  Or, are you trying to use a third-party cert in 'Server certificate' on the 'Advanced' tab of SSL VPN?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello, Yes we have replaced the VPN Signing CA with a Signing CA of us. 

    We use it to create Certifikates for our Servers protected by WAF

    Holy, I don't understand.  Have you somehow replaced the "VPN Signing CA" in the UTM with a Signing CA that you bought?  Or have you manually created certificates for the users, uploaded them and associated them with your users?  Or, are you trying to use a third-party cert in 'Server certificate' on the 'Advanced' tab of SSL VPN?

    Cheers - Bob
  • 0
    I think the solution will be easy, but we still need to know a bit more to decide which easy solution to use.  On the 'Advanced' tab of SSL VPN', what certificate are you using for 'Server certificate' and was it signed by the old or new CA?  Do you also still have the old CA?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hello Balfson, it would be great if the solution were easy [:)]

    on the "Advanced" tab i tried different Certificates. tried the local one signed by the old CA and a new one Signed by the new ca.

    i do steel have the old CA in the list of CA´s

    I think the solution will be easy, but we still need to know a bit more to decide which easy solution to use.  On the 'Advanced' tab of SSL VPN', what certificate are you using for 'Server certificate' and was it signed by the old or new CA?  Do you also still have the old CA?

    Cheers - Bob
  • 0
    I would use the old cert that references the old CA and load a client configuration that is based on a user whose certificate was generated with the old CA.  Any luck with that?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML