Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 13513 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Verify Certificate Issues

JTo
Dr. Astaro,

Earlier today, I swung my entire network so that it's now behind the Astaro Security Gateway (latest version, 8.301).

Now, I am getting messages from my web browser and email (Exchange) clients saying that they cannot verify the identify of a number of Internet sites (see attached).

Without the ASG in the communications path, these errors don't happen.  So, I assume somehow this issue is ASG related.  If so, what's causing it and how do I resolve the issue?

Thank you very much,
Jason


This thread was automatically locked due to age.
  • 0
    Do you have ssl (https-) scanning activated in the web proxy? if you did so - did you deploy the https ca cert to your servers/workstation? https scanning does something like a man-in-the-middle and the cert chain is broken if the clients don't have the cert of the proxy.

    Regards
    Manfred
  • 0
    Here you can find a basic explanation of what the HTTPS scanning does:
    https://support.astaro.com/support/images/d/d9/306581.pdf

    It is also possible to use the Active Directory to automatically roll-out the Astaro CA into the Trusted CA store:
    https://support.astaro.com/support/images/c/cd/302524.pdf

    As i see you are using Apple Mac Systems, there is also a way to roll out Certificates with the Apple Lion Server via the "Profile Manager" there you can create a "Certificate Profile" and install the Trusted CA onto all Mac and iOS systems. 

    i hope that helps, 
    Gert
  • 0 in reply to Hallowach2
    Do you have ssl (https-) scanning activated in the web proxy? if you did so - did you deploy the https ca cert to your servers/workstation? https scanning does something like a man-in-the-middle and the cert chain is broken if the clients don't have the cert of the proxy.

    Regards
    Manfred


    Manfred,

    Yes, that's correct.  I should have mentioned that specifically when writing earlier.  I have Web Filtering enabled to include HTTPS (SSL) Traffic and am in Transparent Mode.

    Ah.  Very insightful!  LogMeIn has been complaining of MITM as well.  This is great.  How do I deploy the HTTPS CA Certificate to my servers / workstations? 

    Thank you very much!

    Jason
  • 0 in reply to Gert Hansen
    Here you can find a basic explanation of what the HTTPS scanning does:
    https://support.astaro.com/support/images/d/d9/306581.pdf

    It is also possible to use the Active Directory to automatically roll-out the Astaro CA into the Trusted CA store:
    https://support.astaro.com/support/images/c/cd/302524.pdf

    As i see you are using Apple Mac Systems, there is also a way to roll out Certificates with the Apple Lion Server via the "Profile Manager" there you can create a "Certificate Profile" and install the Trusted CA onto all Mac and iOS systems. 

    i hope that helps, 
    Gert


    Gert and Manfred,

    This information is really helpful.  I see in the first referenced PDF document the information there for importing the WebAdmin Certificate.  I will do that and see if that resolves the problem!

    Really excited.  Thanks for your help.

    Jason
  • 0 in reply to JTo
    Can you kindly review the steps that I followed?  Something isn't working as I am still getting all of the certificate warnings.

    I went to Management >> WedAdmin Settings >> HTTP Certificate.  Then I clicked on the Import CA Certificate button (see attached).  That downloaded a WebAdmin.cer file which I imported into Safari.  Then I went into Keychain Access (where certificates are managed on Macs) and made edits to make sure that it was a trusted certificate across the board (see attached).  Keychain Access says that it's a "root certificate authority", by the way.

    With the certificate installed, I went to www.icloud.com and www.paypal.com.  Both flip to HTTPS as their pages load, and both gave me a certificate error message.  The iCloud message is attached.  It doesn't appear to be using the installed ASG certificate for some reason.

    Any ideas?

    P.S.  I tried this on Windows 7 with IE with the same results.
  • 0
    In reviewing the WebAdmin Certificate in more detail, I see a couple of things that may be newsworthy:

    1) In the Subject Alternative Name (2.5.29.17) there is an IP address of 127.0.0.1.  Not sure if that's a good thing or a bad thing, but it seems more bad than good to me since that's the local loopback address...

    2) Also, the date range is not valid before 3/26/2012 or after 12/31/2037.  This looks good.

    3) In the Basic Constraints extension (2.5.29.19), it says "Certificate Authority Yes".
  • 0 in reply to JTo
    Hot dog!  I figured out that the certificate that I needed was in Web Security >> Web Filtering >> HTTP CAs.  :-)  

    This worked out of the box for my on my Macs.  On my Windows machines, I had to install the certificate into the Trusted Root group rather than the Personal group in order for it to work for me

    Now, a related question - This didn't solve the certificate issue from the ASG when going to the WebAdmin login screen.  See attached.  How is that problem solved?  Is the best way to just always trust it in the web browser and move on with life, or is there a better / other way that is preferred?
  • 0 in reply to JTo
    Good to hear that you figuered that https one out by yourself.
    I'm not sure but i think you have to import the webadmin ca cert as trusted root ca and the webadmin cert should simply work after that because it is signed by a now trusted ca.

    Regards
    Manfred
  • 0
    Thanks, Manfred.

    You're right.  I now understand that there are two CAs that I need to be concerned with.  One is the WebAdmin CA and the other is the 'production' CA.  Both certificates are needed.

    Now, things are working on my Windows 7 and Mac OS X machines as expected.  Now, onto figuring out the certificate issues on my iOS devices.

    Jason
  • 0
    Ok.  I am back.

    Windows 7 and Mac OS X machines work fine with the Web Security >> Web Filtering >> HTTPS CA certificates.  It's very nice to see that working.

    So, I emailed to myself the very same certificate and installed it on my iPhone (4S, latest firmware).  It behaves as though the certificate hasn't been installed:

    Cannot Verify Server Identity

    Safari cannot verify the identity of "www.paypal.com".  Would you like to continue anyway?    

    I have deleted and re-installed the certificate.  I have reboot the phone.  I have regenerated the certificate.  I am not able to get any of that to work.

    Is there something different about iOS devices when it comes to the certificates?

    Jason