MS Update and HTTPS Proxy...again...

Jim, if this problem wasn't resolved in one of the other threads here, can you tell us what's happening?

Cheers - Bob

Jim, if this problem wasn't resolved in one of the other threads here, can you tell us what's happening?

I can try...

Upon trying to use the manual MS Update in Win XP pro...cert not installed in IE

from logging - contentfilter shows:

2009:03:22-06:57:58 cpe-66-69-89-240 httpproxy[8822]: [ 0x8f7dfe8] ssl_cert_read (ssl.c:122) certificate invalid, removing
2009:03:22-06:57:58 cpe-66-69-89-240 httpproxy[8822]: [ 0x8f7dfe8] ssl_certcache_lookup (ssl.c:409) failed to read cert: Invalid argument

Internet Explorer "Security Warning" window states:

The current Web page is trying to open a site in your Trusted sited list. Do you want to allow this?

Current site: http://update.microsoft.com
Trusted site: res://ieframe.dll

2009:03:22-07:10:23 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="7181" time="326 ms" request="0x8f7dfe8" url="update.microsoft.com/.../broker.js
2009:03:22-07:10:23 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="44" time="212 ms" request="0x8f7e4f8" url="update.microsoft.com/.../au_bg_leftmiddle.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:23 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="160" time="211 ms" request="0x8f7dfe8" url="update.microsoft.com/.../au_button_middle.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:23 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="44" time="219 ms" request="0x8f7e4f8" url="update.microsoft.com/.../au_bg_rightmiddle.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:23 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="56" time="219 ms" request="0x8f7dfe8" url="update.microsoft.com/.../au_bg_leftbottom.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:23 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="54" time="230 ms" request="0x8f7e4f8" url="update.microsoft.com/.../news_bg_topmiddle.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:24 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="44" time="213 ms" request="0x8f7e4f8" url="update.microsoft.com/.../news_bg_rightmiddle.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:24 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="44" time="221 ms" request="0x8f7dfe8" url="update.microsoft.com/.../news_bg_leftmiddle.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:24 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="44" time="222 ms" request="0x8f7e4f8" url="update.microsoft.com/.../news_bg_bottommiddle.gif" exceptions="av,content,url,certcheck,certdate,mime" error=""
2009:03:22-07:10:24 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="8880" time="420 ms" request="0x8f7dfe8" url="update.microsoft.com/.../SiteRecruit_PageConfiguration_2944mt1-2943mt60-MU.js
2009:03:22-07:10:25 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2180" time="220 ms" request="0x8f7e4f8" url="update.microsoft.com/.../news.aspx
2009:03:22-07:10:25 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2241" time="211 ms" request="0x8f7dfe8" url="update.microsoft.com/.../tgar.js
2009:03:22-07:10:26 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="19340" time="435 ms" request="0x8f7e4f8" url="update.microsoft.com/.../content.js
2009:03:22-07:10:26 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="44" time="141 ms" request="0x8f7dfe8" url="c.microsoft.com/trans_pixel.asp
2009:03:22-07:12:06 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="39 ms" request="0x8f7e4f8" url="download.windowsupdate.com/.../muv3wuredir.cab
2009:03:22-07:12:06 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="208 ms" request="0x8f7dfe8" url="update.microsoft.com/.../MUAuth.cab
2009:03:22-07:12:07 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="10002" time="267 ms" request="0x8f7dfe8" url="update.microsoft.com/.../MUAuth.cab
2009:03:22-07:12:13 cpe-66-69-89-240 httpproxy[8822]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="HEAD" srcip="192.168.7.110" user="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Proxy)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" time="6652 ms" request="0x8f7e4f8" url="download.windowsupdate.com/.../muv3muredir.cab
2009:03:22-07:12:17 cpe-66-69-89-240 httpproxy[8822]: [ 0x8f7dfe8] ssl_cert_read (ssl.c:122) certificate invalid, removing
2009:03:22-07:12:17 cpe-66-69-89-240 httpproxy[8822]: [ 0x8f7dfe8] ssl_certcache_lookup (ssl.c:409) failed to read cert: Invalid argument

This with cert installed in IE...

2009:03:22-07:27:07  cpe-66-69-89-240 httpproxy[8822]: [ (nil)] ssl_get_ctx (ssl.c:465) SSL_CTX_use_PrivateKey: -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQC9SjDboE/eZrPNz+DqCwSoZOhlqVTvdKf3ln/S3hm/+6VR9qyX cUspNrCYqapXVhZ6PKa6BM/2MARYP6x7Zw4eAqudtV+CifDvBHSyjNETz1e4++ot PkXscaI/OZvkFUa5dst15yCy4qJdLDBuEz2zL+ZscMqFXd1qDqK0bkRxDQIDAQAB AoGASl4fm+n79xC6i52ka88wYUhj1a0VZY6bfzZtudbwnvCrHuyfGlC0itilwRTH i9CSvCugBW1mlv5+dn1tsn3mmU1fbFGPgG/ZhIlScg0Npb4qNjtWGPuhaGyQ0rfu 480eWnxUNbTSxfXYNrlri1zcrXtjeNLNzV8OyyibdRU+4gECQQD6htfuD5V4nz8g +sjBakxgoKkJ2f7VS7ntuB6TqUIiZhFLgDZB1BSkPcNSCQ8F1Zuqo6j3ZmwpnHI5 GDPbA5etAkEAwWzb4YXBP1p48BftD4fXBjMkF/X4Od2kUVCK6AeYFe7wNLFRc9IP ELceRTE5+4yoNBSgz9M23TIIQ+CCFFjq4QJBAL7llQ/vjAPXxHDK58KJzx0qDuRU 2huJkmmTjKkTpjMz9yXC0pUil3/3GCgggvP9KprCDnRF9VFXxqm+yXSvrhkCQBkW +sqdI/0IykkygVCTaUPnnFXzVPiElIzrqqkAWyz1KnlbStqAM+4SIr4M7Z2AmEzx JA7xMdutYr8TPyxOgGECQDpnhSWrwp85s26UWU8Z4HZh/hzAOi2J1zySBDJsT2iV KvbF9WklFMoI8HbtUhvIDawioY9QiI3N4Gb6yZPKS78= -----END RSA PRIVATE KEY----- failed
2009:03:22-07:27:07 cpe-66-69-89-240 httpproxy[8822]: [ (nil)] ssl_get_ctx (ssl.c:468) SSL_CTX_check_private_key: failed
2009:03:22-07:27:07 cpe-66-69-89-240 httpproxy[8822]: [ 0xbc67600] ssl_log_errors (ssl.c:41) C: 8822:error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher:s3_srvr.c:972:

Same "Security Warning" window:

The current Web page is trying to open a site in your Trusted sited list. Do you want to allow this?

Current site: http://update.microsoft.com
Trusted site: res://ieframe.dll

try to import the certificate using mmc and certification snap in (use certification for computer)
You cna find the solution by searching on the forum

PS when using logs use the code format [;)] 

logs (regardless of how big it is)

Have you installed the astaro https cert on your pc?  If you have, then maybe you changed the hostname, and need to gen a new cert.

Have you installed the astaro https cert on your pc?  If you have, then maybe you changed the hostname, and need to gen a new cert.

Everything should be good. Regenerated, checked, downloaded and installed the cert; still the same thing.

Stumped,

Jim

Hi Jim, 

there are two certificate stores on a windows system, one is the browser cert store and the other is the sytem cert store. 

Importing and trusting the CA in the browser cert store, is enough to surf all HTTPS sites within the browser. Also all application using the browser.dll's will work fine.

But there are a few applications that verify these certificates against the system cert store. 

Windows Update is one of them which it needs in the system cert store. 
You must add the cert via the mmc. 

If you need more detailed instructions, please let me know, and we will create some.

thanks
Gert

Gert

I have installed the system certification (using mmc) and browser on ie but still every time I try to use ebay for example it prompts me for the certification

Hi Jim, 

there are two certificate stores on a windows system, one is the browser cert store and the other is the sytem cert store. 

Windows Update is one of them which it needs in the system cert store. 
You must add the cert via the mmc. 

If you need more detailed instructions, please let me know, and we will create some.

thanks
Gert

Gert,

If I open the mmc, then look in console root/certificates/trusted root certification authorities/certificates and the cert from the ASG is listed, then is not the cert in the correct place?

Jim

Hi Jim, 

there are two certificate stores on a windows system, one is the browser cert store and the other is the sytem cert store. 

Windows Update is one of them which it needs in the system cert store. 
You must add the cert via the mmc. 

If you need more detailed instructions, please let me know, and we will create some.

thanks
Gert

Gert,

If I open the mmc, then look in console root/certificates/trusted root certification authorities/certificates and the cert from the ASG is listed, then is not the cert in the correct place?

Jim

Can the "Organization" in regenerate signing CA be any name, or must it be a dns resolvable host name?

I regenerated the signing CA again and used a resolvable host name and ms update is now working.

Why?

Jim

Hi Jim,

What for execptions have you entered for Windows Update?

If not done please enter the following and try.

update.microsoft.com
download.windowsupdate.com


Do you get an errormessage when you try to do Windows Update manually?


cheers

Can the "Organization" in regenerate signing CA be any name, or must it be a dns resolvable host name?

I regenerated the signing CA again and used a resolvable host name and ms update is now working.

Why?

Jim

"...ms update is now working".

MSUpdate works both manually and automaticlly.

The biggest disappointment in all this is that Firefox 3 gives very little control to the end user with regard to these personal CAs. What control they did give is not very user friendly.

MSIE works all of the time.

Opera has an easier GUI when connecting SSL.

Thanks,

Jim