Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 1 subscriber
  • Views 5524 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Possible Certificate issue

rrosson
I followed the steps outlined in this link:

Speeding up webbrowsing by blocking advertisers and trackers

To have my Sophos UTM Home edition running 9.200-11 filter out ads and such. Everything is working as it should with Web Filter operation mode in transparent, but I think I uncovered a failure for me to RTFM (I failed to give the system a FQDN) when I initially setup the gateway.

What is occurring is that when a block comes up I am getting a certificate popup for trust. The system's CA is in my client host systems certificate of trust.

Is there any way to update the FQDN and regenerate the certificates that are used by the UTM without having to reinstall and recreate everything from scratch?

TIA


This thread was automatically locked due to age.
  • 0
    Hi, Ron, and welcome to the User BB!

    Good question.  The answer is that there's no document outlining the necessary steps to avoid starting from scratch - see The Zeroeth Rule in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.  Especially since you only recently started, I bet you can do a Factory Reset and configure faster than trying to learn about and go through over 20 items that you would have to review.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, Ron, and welcome to the User BB!

    Good question.  The answer is that there's no document outlining the necessary steps to avoid starting from scratch - see The Zeroeth Rule in http://www.astaro.org/gateway-products/general-discussion/49065-rulz.html.  Especially since you only recently started, I bet you can do a Factory Reset and configure faster than trying to learn about and go through over 20 items that you would have to review.

    Cheers - Bob


    I have a lot of customization already. It would probably be easier if someone can give me the steps for creating a new local x509 cert for the sophos utm.

    TIA
  • 0
    The problem isn't creating it.  The problem is all of the other implications, and all of the other places where a change has to be made.  Maybe someone that's used the 'Remove unique site data' in making a backup and then restoring can comment on using that approach here.

    Cheers - Bob
  • 0
    Creating the rules and objects take time. Plus I have a site-2-site SSL VPN working with an OpenBSD firewall that I would have to recreate again. So keeping the current CA (using Sophos Self Signed till I get more familiar) is paramount. 

    Not a afraid of the command line just need to know what steps need to be taken for updating the Local X509 certificate to one that matches.

    The Rulez posting would have saved me a lot of grief if I had known it existed when I set it up initially. 

    Hind sight is 20/20.  (Oh Well) now to see if I can avoid having to factory rest and start from scratch.
  • 0
    Note: Not tested but should work in theory.

    Change your hostname to be a FQDN.

    Go to the HTTPS CAs tab (Web Protection, Filtering Options in 9.2).  Click the Regenerate button.

    You now have a new CA based on your new name.  Redistribute to your computers.

    Alternately generate one on your own and upload it there.
  • 0 in reply to Michael Dunn
    Note: Not tested but should work in theory.

    Change your hostname to be a FQDN.

    Go to the HTTPS CAs tab (Web Protection, Filtering Options in 9.2).  Click the Regenerate button.

    You now have a new CA based on your new name.  Redistribute to your computers.

    Alternately generate one on your own and upload it there.


    Michael

    If I do that wont it change the CA for my SSL VPN as break it. As I mentioned earlier I was able to successfully get a SSl Site-2-Site VPN established with an OpenBSD endpoint. A little hex dump and an unlicensed Sophos UTM VM with shell access to get it accomplished. Not something I want to revisit right away  [:)]
  • 0
    Changing the HTTPS CA will not affect Site to Site VPN.  I do not know if changing the hostname will.

    Go to Site to Site VPN, SSL, Advanced.  Look at the Server Certificate.  It is a dropdown list of certificates, by default it uses one called "Local X509 Cert".  The main thing is that you do not want this one to change.  I don't know if changing the hostname changes this default certificate.  If you are using your own uploaded cert then you should definitely be fine.

    There is one other potential option in 9.2, though I don't know if it solves your problem.  The Proxy CA is actually used for two different things.  The first is for HTTPS scanning and redirection - for example if you go to a blocked HTTPS site, it uses the CA to display the blocked page HTML.  That HTML then loads images that are from passthrough.fw-notify.net, which is a special URL that the UTM recognizes and displays internal content.  The CA is also used to sign those pages.  In 9.2 you can change this to your own custom hostname such as passthrough.proxy.yourdomain.com and your own Certificate.  This is under Filter Options, Misc.  It probably won't help your situation, though.

    Note: What is the underlying issue?  Are you using Transparent Mode AD SSO?  Are you doing HTTPS Scanning?
  • 0 in reply to Michael Dunn


    Note: What is the underlying issue?  Are you using Transparent Mode AD SSO?  Are you doing HTTPS Scanning?


    I am using transparent mode with HTTPS scanning of URL's only. Currently I have application control set to block web ads ( I think I posted the link I used to set this up in the beginning of this thread). When a web ad is blocked I get a pop-up about the certificate. I narrowed it down to that I did not use a FQDn when I setup the UTM and have since changed it to a FQDN that resolves both internally and externally on my network.

    I was hoping that there was an easy way t regenerate the Local X509 that contains the hostname of the UTM.  [:)]
  • 0
    The Local X509 is not used for Web Filtering.

    If you are using the Local X509 for the VPN connection (see Site to Site VPN, SSL, Advanced) and you regenerate it, you will likely cause problems with the VPN.

    It sounds to me like you currently have no Web Filtering issues, and this is now an SSL/VPN issue.  It's out of my expertise, try posting in that forum.
  • 0
    This is what I am trying t solve. this pops up when I visit a site that has content blocked. This example is for visiting https://www.youtube.com

    Attached image.