Best way to avoid certificate error?

You need to install the UTM as a Certificate Authority on your client devices.

You can download the CA from WebAdmin, or from User Portal, or (I think) from https://passthrough.fw-notify.net/cacert.pem 

Install it as a trusted certificate authority.  You need to do IE and FF separately.

This is usually done via an AD GPO push.

If there is already a self-signed certificate authority that you trust you can use that.

You can also specify a certificate (self-signed or public) just for the passthrough.fw-notify.net, however it only applies to things from that site (block pages and such) and not to HTTP Scanning.

You cannot use a public cert for HTTPS scanning.  You cannot purchase a public Certificate Authority (ability to certify other websites).

Thanks Michael,

Is it normal for the certificate to have a Subject Alternative Name of 127.0.0.1?

Do i need to do the same for webadmin for it to be trusted? (currently using external domain name)

For WebAdmin, you can use the one that it comes with, or you can supply your own that is either self-signed or public and matches your FQDN.
Management> WebAdmin Settings > HTTPS Certificate

Something with a Subject Alternate Name of 127.0.0.1 seems a little odd to me.  I don't know if any of our certificates that we normally supply include this, I did a quick check and did not see any.  I see the WebAdmin certificate normally includes in the SAN a DNS Name and IP Address that is set to the UTM's IP.  This is so that you can get to WebAdmin via IP Address and have the certificate apply.

Hi Michael,

Just checked the Webadmin certificate as well and this one also has IP Address=127.0.0.1 as the SAN name as well???

Hi Guys,

Quick question, my webadmin certificate was set to admin(x509 user cert) by default, is it supposed to be using this one or the local X509 cert? Will changing that will then change my proxy ca certificate?

WebAdmin certificates is not my area of expertise, nor is the the correct forum for it.

That being said.

1)  You can manage (eg upload) certificates on any of the Certificate Management pages (eg Site to Site VPN > Certificate Management)

2) I *think* the WebAdmin certificate is initially created during installation or maybe during install wizard.  Possibly it uses the IP address that it has at the time.  Possibly if there is no IP address it uses 127.0.0.1.

3) You can select a WebAdmin certificate (that you uploaded) or regenerate the WebAdmin certificate onbox at Management > WebAdmin Settings > HTTPS Certificate.

4) On my test boxes the certificate used by default (and shown on the HTTPS Certificate page) is called "Signed WebAdmin certificate"


If you need more help, I suggest you ask here:
https://www.astaro.org/gateway-products/hardware-installation-up2date-licensing/

There's something wrong with your initial setup.  Try The Zeroeth Rule in Rulz.  Any luck with that?

Cheers - Bob

Hi Guys,

Just upgraded to 9.206 and did a full factory reset. The webadmin certificate now shows "webadmin certificate for name.domain.com" although it doesn't have signed in the name as in the previous posts. The SAN for the webadmin certificate points to the external domain name only and not ip???

As for the proxy CA , i downloaded the certificate from filtering options-https cas and imported into mmc to look at the SAN name and was surprised that is was still pointing to 127.0.0.1. Is that normal for the proxy ca? Thats the one that should be uploaded to clients through GPO right?

And what is this option used for ?

Certificate for end users pages. Is that the passthrough one?

Thanks

Alexx

Michael, you and I were both wrong about the SAN - it's 127.0.0.1 in several sites that have been working for years that I just examined.

Yes, Alexx, that's the Proxy CA is what you want to distribute.

Cheers - Bob

Hi Bob,

Thanks for that! Will start to distribute to users. We will use transparent with ad sso authentication and https url filtering. Will this certificate fix the issue  where staff access https sites first?