Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 32764 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Certificate Validation Issue

DanielHeim
Greetings,

I'm trying to set up SSL Remote Access,but I'm stuck on certificates.

We have a windows based PKI with 
an Offline Root CA > Root CA and an issuing enterprise CA > ADM1CA.

The client PC that tries to connect has both certificates installed.
Root CA > Local Machine > Trusted Root CA
ADM1CA > Local Machine > Intermediate CA

On our UTM i installed ADM1CA as CA with private key.

The SSL Installer delivers two certificates:
utm..ca
utm..user

Both certificates look valid.

But while trying to connect, certifcate validation fails. 

Wed Sep 16 08:29:33 2015 TLS: Initial packet from [AF_INET]80.152.58.170:443, sid=419cac96 6d346704

Wed Sep 16 08:29:33 2015 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this

Wed Sep 16 08:29:33 2015 VERIFY ERROR: depth=1, error=unable to get local issuer certificate: DC=de, DC=, CN=ADM1CA

Wed Sep 16 08:29:33 2015 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

Wed Sep 16 08:29:33 2015 TLS Error: TLS object -> incoming plaintext read error

Wed Sep 16 08:29:33 2015 TLS Error: TLS handshake failed


Any ideas on how to resolve this issue?


This thread was automatically locked due to age.
Parents
  • 0
    An intermediate CA cannot be used to issue VPN certs within Sophos, unless you manually modify the openvpn.conf-default file [/var/sec/chroot-openvpn/etc/openvpn] to not use certificate attributes for TLS authentication and instead use a TLS key.  

    When an ICA issues a VPN certificate, the CA that signed the ICA will be the CN of the VPN cert, thus failing TLS authentication, since the CN must be the Sophos user's name (if openvpn.conf-default is left as is).

    Hello, dheim, and a belated welcome to the User BB!


    Yes, it looks like you do have a problem.  Were the User certs generated using the same Signing CA as the cert specified in 'Server certificate' on the 'Advanced' tab?

    Cheers - Bob

    It wouldn't matter, as it's an intermediate CA, which cannot be used with Sophos's default OpenVPN server config
Reply
  • 0
    An intermediate CA cannot be used to issue VPN certs within Sophos, unless you manually modify the openvpn.conf-default file [/var/sec/chroot-openvpn/etc/openvpn] to not use certificate attributes for TLS authentication and instead use a TLS key.  

    When an ICA issues a VPN certificate, the CA that signed the ICA will be the CN of the VPN cert, thus failing TLS authentication, since the CN must be the Sophos user's name (if openvpn.conf-default is left as is).

    Hello, dheim, and a belated welcome to the User BB!


    Yes, it looks like you do have a problem.  Were the User certs generated using the same Signing CA as the cert specified in 'Server certificate' on the 'Advanced' tab?

    Cheers - Bob

    It wouldn't matter, as it's an intermediate CA, which cannot be used with Sophos's default OpenVPN server config
Children
No Data
Unfiltered HTML