Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 1 subscriber
  • Views 10464 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTPS Trusted CA Problem

CClasen
I cannot seem to prevent invalid certificate warnings when HTTPS Scanning is enabled.  I have downloaded and installed the cert for both Firefox 10 and IE9 on my Win7 machine and manually installed it in MMC (in the trusted CA store).  I can see the cert listed in the Authority store when I navigate to the SSL menu under Tools in both browsers.  I have even added it to a GPO in AD and tried these same steps on other XP machines on our network.  I wonder if it is related to the Hostname and URL name tagged on the cert, since the import process seems to be working fine.  I have found several other threads here that are similar, but they seem to be related to importing issues.  I can import, but the browsers are still failing to recognize the validity of cert.

ASG 220 v.8.300


This thread was automatically locked due to age.
  • 0
    In 'Web Security > Web Filtering', on the 'HTTP CAs' tab, Download the Proxy CA and install it in "Root Trusted..."

    If that doesn't solve the problem, then you might want to Regenerate on the same page and try to download the new CA.  Maybe the hostname changed after the initial installation?

    Cheers - Bob
  • 0
    The highlighted one is the cert from the FW.
  • 0
    If you're still seeing the same security message and my suggestions in Post #12 didn't fix that, then you really do need to get someone to login to your box and see what's going on.  If you have Premium Support, you can contact Astaro yourself, otherwise, ask your reseller to submit a support request for you.

    I haven't seen this problem before, so I would appreciate it if you would let us know what they find.

    Cheers - Bob
  • 0
    Is the hostname of the Astaro set as an FQDN?
  • 0
    Scott, I understand how that affects VPN authentication, but I don't know that much about HTTPS.  When does that come into play and is there a way in Astaro to fix that other than changing the hostname and regenerating the HTTPS CA?

    Cheers - Bob
  • 0
    Scott, I understand how that affects VPN authentication, but I don't know that much about HTTPS.  When does that come into play and is there a way in Astaro to fix that other than changing the hostname and regenerating the HTTPS CA?

    Cheers - Bob


    The hostname will affect all certs the astaro uses....if there is a mismatch of any kind then the browsers are going to complain....
  • 0
    So here's what I've discovered after playing around for a while: The cert is available for download from the FW in two formats: .pem and .p12.  Neither of these will achieve the desired effect when placed in the Trusted Root Store.  The .pem file must first be imported into the OS.  While the import wizard is running, open the certificate file and click Details.  In this dialog box there's an option to Export.  This function outputs the .crt file (the format that the browsers look for).  I added this as a group policy push and it has worked for IE (because IE pulls from the OS store).  Still working on a way to push out to Firefox, but this is another matter altogether ;-)
  • 0
    Scott, I understand how that affects VPN authentication, but I don't know that much about HTTPS.  When does that come into play and is there a way in Astaro to fix that other than changing the hostname and regenerating the HTTPS CA?

    The hostname will affect all certs the astaro uses....if there is a mismatch of any kind then the browsers are going to complain....


    Right, but, if I understand the situation correctly, there isn't a mismatch.  IN IPsec, using X509 certs, the FQDN of the cert must match the hostname.  I don't understand where that same comparison might be made with HTTPS.

    Cheers - Bob