Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 2 replies
  • Subscribers 1 subscriber
  • Views 6078 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Client Authentication Certificate

optimans
Hi,

Im testing Client Authentication on latest UTM.

Using own Sub CA, which is setup for webadmin, web filtering and vpn, however i cant seem to change the client authentication certificate.

Because of this when i run the agent app on a computer it displays the server is not trustworthy and quits

Is there any way of changing the certificate. don't want to have to install the utm cert.

thanks in advance


This thread was automatically locked due to age.
  • +1
    After playing around with the CC command i was able to:

    Change the CA to the one setup under Remote Access > Certificate Management > Certificate Authority.

    Change the cert to a new one under Remote Access > Certificate Management > Certificates.



    Prob not supported however:

    ssh as loginuser

    sudo -
    cc
    127.0.0.1 MAIN > endpoint
    127.0.0.1 MAIN endpoint > aac
    127.0.0.1 MAIN endpoint/aac > ca$

    This will list the current CA and the REF name
    Press tab key twice to display all CA references installed on the UTM

    Set the CA to another one on the system:
    127.0.0.1 MAIN endpoint/aac/ca > =REF_CaSig{WHATEVER THE REFERENCE NAME IS}

    Output should display:
    result: 1

    127.0.0.1 MAIN endpoint/aac/ca > ..
    127.0.0.1 MAIN endpoint/aac > cert$

    This will list the current cert and the REF name
    Press tab key twice to display all cert references installed on the UTM

    Set the cert to another one on the system:
    127.0.0.1 MAIN endpoint/aac/cert > =REF_CaHos{WHATEVER THE REFERENCE NAME IS}

    Output should display:
    result: 1

    127.0.0.1 MAIN endpoint/aac/cert > exit

    I then installed the SAA under Windows and chose not to install the certificate at install (Sub CA is already installed as part of GPO).

    Ran the SAA program and it works!

    Now the tricky part is trying to get it to work under OS X. May have to play around with Keychain abit more.

    The change to the CA and cert seems to survive restarts as well.

    Hope this may help someone.

    If anyone has got ideas for stopping the Mac SAA app from saying 'Server is not trustworthy! Program will now terminate.' that would be great
  • 0 in reply to optimans
    I have the same issue but a tad more complex.

    Our environment has over 5 Sophos UTMs, managed by SUM.  How do I configure the Client Authentication Agent so that when people go from one office to another they do not receive this message?

    Do I 'pick' a certificate and install it at the SUM, then push it out to all the Sophi so that everyone has the same one?  How does that work if each Sophos UTM has a unique fqdn for their site?  Is there a whitepaper or best practice document I have not read out there somewhere that tells me what I should do.