Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 8602 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Certificates

MikeRM275
Ok, my question is how to make Sophos play with my Certificate Authority that I run from the internal domain.  Do I download a certificate from the CA and upload it into Sophos or the other way around.  I am trying to prevent all the bad "certificates" that the browsers are saying are being used.  Not that there is any bad certificate in use.  If I have to upload it to Sophos, will it automatically replace on the time cycle that the CA uses or will it have to be done manually each time?


This thread was automatically locked due to age.
Parents
  • 0
    Hello everyone  

    I am currently also working on this problem. 

    I want to switch from standard mode proxy to transparent mode. 

    I had to learn that in standard mode https-connects are forwarded to the https site (had https scanning turned off there) if allowed via Allowed Services while on transparent mode either https-scanning has to be done or https requests are not handled (and need to be allowed via packet filter)  

    So far so good.   

    What I now wonder why MarkRM275's plan is not working. I would also like to issue a cert via my internal CA

    My clients have already installed the Root CA from the internal CA and therefore trust it. 
    It would be quite nice to be able to release an Issuer CA from the internal CA and apply it to the Webfilter. This could then be used by the UTM to issue the certs for websites accessed by the users. 

    The issued cert would have the certificate chain included (e. g. Self signed google.de cert > UTM Issuer Cert > internal Root CA). Therefore the client would be able to verify the chain and trust the certificate generated by the UTM on-the-fly

    Problem I have is that the cert issued by the UTM doesn't contain the chain. I either generated it wrong or the UTM does not support that [:(]
    I found this feature requests which give the opinion that this might be the case: 

    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/2524138-astaroos-support-intermediate-cas
    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/3044210-https-scanning-have-proxy-provide-certificate-cha

    Any idea if this is somehow possible or what I might have done wrong?

    Best regards
    Chas0rde
Reply
  • 0
    Hello everyone  

    I am currently also working on this problem. 

    I want to switch from standard mode proxy to transparent mode. 

    I had to learn that in standard mode https-connects are forwarded to the https site (had https scanning turned off there) if allowed via Allowed Services while on transparent mode either https-scanning has to be done or https requests are not handled (and need to be allowed via packet filter)  

    So far so good.   

    What I now wonder why MarkRM275's plan is not working. I would also like to issue a cert via my internal CA

    My clients have already installed the Root CA from the internal CA and therefore trust it. 
    It would be quite nice to be able to release an Issuer CA from the internal CA and apply it to the Webfilter. This could then be used by the UTM to issue the certs for websites accessed by the users. 

    The issued cert would have the certificate chain included (e. g. Self signed google.de cert > UTM Issuer Cert > internal Root CA). Therefore the client would be able to verify the chain and trust the certificate generated by the UTM on-the-fly

    Problem I have is that the cert issued by the UTM doesn't contain the chain. I either generated it wrong or the UTM does not support that [:(]
    I found this feature requests which give the opinion that this might be the case: 

    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/2524138-astaroos-support-intermediate-cas
    http://feature.astaro.com/forums/17359-utm-formerly-asg-feature-requests/suggestions/3044210-https-scanning-have-proxy-provide-certificate-cha

    Any idea if this is somehow possible or what I might have done wrong?

    Best regards
    Chas0rde
Children
No Data