Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8601 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Certificates

MikeRM275
Ok, my question is how to make Sophos play with my Certificate Authority that I run from the internal domain.  Do I download a certificate from the CA and upload it into Sophos or the other way around.  I am trying to prevent all the bad "certificates" that the browsers are saying are being used.  Not that there is any bad certificate in use.  If I have to upload it to Sophos, will it automatically replace on the time cycle that the CA uses or will it have to be done manually each time?


This thread was automatically locked due to age.
  • 0
    I'm not sure if I understand you correctly but when you are doing HTTPS scanning, your UTM will give out it's certificate (and not the certificate of that the HTTPS website has).
    Your clients will have to trust this CA.
    You can either have the UTM create its own CA certificate or upload one through Web protection -> Web filtering -> HTTPS CAs.
  • 0
    If you didn't hack Verisign, Thawte or the like and you got your hands on their root CA cert, you have to do like the previous poster says: Trust the Proxy-CA at every client.
  • 0
    Ok I have my own Certificate Authority that is running on my Windows 2012 Domain Controller.  I have certificates there for Exchange OWA, HTTPS scanning, Users, etc.  Now if I have this correct, I should just log to the Cert Issuing Webpage and grab one for the UTM then upload that into the UTM?
  • 0
    Loading some of those certs into the UTM would enable you to use Webserver Protection, but, as the others above told you, doing so would have no effect on your internal clients.  If you want to use SSL scanning in Web Filtering, you need to have all browsers and all devices put the UTM's Signing CA into Trusted Root CAs.

    Cheers - Bob
  • 0
    Ok, got it, I have pushed the cert from Sophos through my domain via GPO.  The security warnings have gone away.   Though while we are on the subject, I want to clarify that I got this right.  So to use my domain cert for publishing web servers, and since it is a wildcard.   I go to Exchange and export the cert as a .pfx or .p12, which ever it allows me to do.  I then log into Sophos and go to Web Server Security, Cert Management.  Is it the Cert Authority or certificates tab that I want to upload this on?
  • 0
    Hello everyone  

    I am currently also working on this problem. 

    I want to switch from standard mode proxy to transparent mode. 

    I had to learn that in standard mode https-connects are forwarded to the https site (had https scanning turned off there) if allowed via Allowed Services while on transparent mode either https-scanning has to be done or https requests are not handled (and need to be allowed via packet filter)  

    So far so good.   

    What I now wonder why MarkRM275's plan is not working. I would also like to issue a cert via my internal CA

    My clients have already installed the Root CA from the internal CA and therefore trust it. 
    It would be quite nice to be able to release an Issuer CA from the internal CA and apply it to the Webfilter. This could then be used by the UTM to issue the certs for websites accessed by the users. 

    The issued cert would have the certificate chain included (e. g. Self signed google.de cert > UTM Issuer Cert > internal Root CA). Therefore the client would be able to verify the chain and trust the certificate generated by the UTM on-the-fly

    Problem I have is that the cert issued by the UTM doesn't contain the chain. I either generated it wrong or the UTM does not support that [:(]
    I found this feature requests which give the opinion that this might be the case: 

    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/2524138-astaroos-support-intermediate-cas
    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/3044210-https-scanning-have-proxy-provide-certificate-cha

    Any idea if this is somehow possible or what I might have done wrong?

    Best regards
    Chas0rde
  • 0
    Chas, I don't understand why you're worrying about a special CA related to a Google cert - it's not necessary.

    But, if you want to use something other than the self-signed Sophos UTM CA, have you uploaded a new PKCS#12 on the 'HTTPS CAs' tab?  Did you also upload the intermediate CA?

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok, that is what I thought and that is where I put the certificate.  How about certificates for rules, do you just generate them using that as the root?  I am sorry for the many questions, coming from TMG where you just upload the Exchange certificate, this is a little confusing.
  • 0
    "Certificates for rules" - I'm not familiar with this.

    This is really simple.  The only certificates you need to upload to the UTM are the ones for the webservers you want to protect with the reverse proxy.

    All of the other self-signed certs and CAs work fine for all other purposes.

    Cheers - Bob
  • 0
    Helle everyone

    The google cert was just an example. 

    What I want to do is upload my own cert via Web Filtering>HTTPS CA. PKCS#12 of course

    Thinking in PKI chains the chain should/would be as described before:

    1) root CA issued by our internal CA
    2) possibly intermediate certs
    3) issuer-cert on the UTM

    #3 would then generate certs for accessed pages on the fly 

    This cert should/MUST contain the complete chain for the client to verify. Only this way it would be possible for me as an admin to have no users call me about warning messages and so forth which would be caused by unknown root certs or missing chains 

    Is this possible? Having the full chain deployed by the UTM?

    I hope this made my case clearer