Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 10454 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Trusted CA Problem

CClasen
I cannot seem to prevent invalid certificate warnings when HTTPS Scanning is enabled.  I have downloaded and installed the cert for both Firefox 10 and IE9 on my Win7 machine and manually installed it in MMC (in the trusted CA store).  I can see the cert listed in the Authority store when I navigate to the SSL menu under Tools in both browsers.  I have even added it to a GPO in AD and tried these same steps on other XP machines on our network.  I wonder if it is related to the Hostname and URL name tagged on the cert, since the import process seems to be working fine.  I have found several other threads here that are similar, but they seem to be related to importing issues.  I can import, but the browsers are still failing to recognize the validity of cert.

ASG 220 v.8.300


This thread was automatically locked due to age.
  • 0
    Hi, CClasen, and welcome to the User BB!

    I'm not seeing this issue.  Please [Go Advanced] below and attach a picture of the warning you're getting.

    Cheers - Bob
  • 0
    Oh, it's WebAdmin.  Just let FireFox create an exception and add it to Trusted Sites in IE9.  Is that the only one?

    Cheers - Bob
  • 0
    I have this warning for ALL HTTPS SITES when https scanning is enabled, not just the webadmin page.  I have already added the certificate to Firefox and IE's Trusted Authority store.  I should not have to add an exception to a site who's certificate should already be trusted.  The whole point of installing the certificate is so that I don't have to add an exception every time I request a page through SSL.  This is not a feasible solution in my company; I will get calls all day from people who see an error and immediately assume something is broken.  Not to mention I don't want them to develop the habit of clicking through HTTPS Sec warnings.
  • 0
    In the case of WebAdmin, as the warning says, it's because your company would need to obtain a cert not generated by your Astaro.  Like I said, this isn't a problem that you should have in general, and the other warnings should be different.

    I think you should ask your reseller to submit a request for Astaro Support.

    Cheers - Bob
  • 0
    I was afraid of that.  We have a credit to acquire a cert through GoDaddy, however, there is no GUI on the Astaro box to generate a CSR (why not???).  I found some instructions on generating one through SSH but attempts to do so have been unsuccessful so far.  Perhaps the commands are for an older firmware version; perhaps this is something support will have to walk me through.
  • 0
    The following also can be used for your purpose.  In V8, you do need to be logged in as root when running the commands, but you can use WinSCP as loginuser: How to Create a Certificate for Web Application Security

    If you run into issues with the Godaddy cert, you might want to read WAF issue with GoDaddy Certs and the BruceKConvergent link I give in one post.

    In fact, only a very few people will need to access WebAdmin, so you might want to save your credit for something else.  I don't think anyone has made a feature request for an ability to generate a CSR from within WebAdmin, but I wouldn't be suprized if that didn't show up in V9.

    Cheers - Bob
  • 0
    I don't think I 'm making myself clear; I don't care about having to make an exception for the WebAdmin page.  You're right, only myself and two other people have access to it anyway.  My problem is that in order to scan any SSL traffic, the Astaro box has to act as a man-in-the-middle, thus causing the browser to throw up a security alert.  I want the end-user browsers to trust everything the Firewall signs.  

    Example: I have on HTTPS Scanning and someone tries to go log in to Gmail: the Astaro intercepts the negotiation and gives the browser a certificate that's signed by Astaro.  The browser does not trust Astaro because it's not listed in the CA Store and/or the cert doesn't match the one it's expecting from Google.  This would keep happening every time the user requested an encrypted connection that they hadn't manually set an exception for.  

    I thought that adding the Astaro cert to the trusted CA Store in the OS, and/or the browser would stop this alert for all HTTPS pages, not just the WebAdmin page when HTTPS Scanning is on.
  • 0
    And I'm confirming that you do not need a different cert for that.  If you want to show another picture of a warning you get for a site like https://www.bankofamerica.com/, we might be able to figure out what's not yet configured correctly.

    Cheers - Bob