Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 1 subscriber
  • Views 8880 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to install a SSL Cert for the SMTP Proxy service?

Brian Buchanan
The Astaro Self-Signed Cert is giving me grief with my BlackBerry users going through the SMTP Proxy.  I need to find out how to install a purchased SSL cert for the SMTP proxy service.

The SMTP log shows me:
exim[9635]: 2010-03-23 16:20:23 TLS error on connection from bda-67-223-79-89.bise.na.blackberry.com (bda951.bisx.prod.on.blackberry) [67.223.79.89]:56580 (SSL_accept): error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown

I'm pretty sure it's the self-signed cert at this point.  I pushed port 25 through to my Mail Server in the DMZ, got the same type of error and read a KBA that "The BlackBerry Internet Service (BIS) servers currently do not support making SMTP connections to mail servers using self-signed certificates, or certificates generated by the same application that later provides it as verification of their security."

I purchased a SSL cert, installed it on my mail server and the Blackberry's could then send.  When I put the Astaro SMTP Proxy back into the mix, the error returned.

I need to find out how to install a purchased SSL cert for the SMTP proxy service.

I've found Mail Security/SMTP/Advanced/TLS Settings/TLS Certificate which gives me a list of all my users, but I'm at a loss as to how to pull a CSR from the Astaro and install the resulting certificate to get it on that list.

I'm running 7.504 on an ASG320, and my mail server is Alt-N MDaemon 11 with BIS integration turned on.

Thanks for any help.

Brian


This thread was automatically locked due to age.
  • 0
    Brian, is there a reason your BIS server and your mail server have to reach each other through the Astaro? Also, is the SMTP Proxy in transparent mode?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    The BIS integration is a new feature of the just released MDaemon 11.  Previously the blackberry's would use the BIS SMTP servers to send E-mail and now they use my server as the SMTP server.  My server is in the DMZ off the Astaro and the Astaro is intercepting all inbound port 25 traffic, scanning, then delivering to my server.

    The SMTP Proxy is enabled and in simple mode.  It's routing by static host list and verifying recipients with callout.  Advanced/Transparent Mode is unchecked. Advanced/Skip TLS list is empty and TLS Certificate is ":: Please Select ::"

    Brian
  • 0
    I'm sure that's just a regular cert like those found under 'Certificate Management' in the VPN menus, so you should be able to upload it there.  I don't think that other systems keep track of what cert you are using for TLS, so it seems like you should be able to select your purchased cert after installing it.

    I know just enough about all that to be dangerous, so I hope you've opened a support ticket via your MyAstaro account. [;)]

    Cheers - Bob
    PS Please post the solution when you get it working.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    You can't upload the certificate for the smtp proxy within the webadmin. The setting at
    Mail Security >> SMTP >> Advanced has another function.

    Online help:

    TLS Settings
    The security system will negotiate TLS encryption with all remote hosts supporting it. If a particular host or network should encounter problems with TLS encryption, you can enter it in the Skip TLS Negotiation Host/Nets box and select the appropriate TLS certificate from the drop-down menu. This will cause the security system to skip TLS negotiation for this host or network. Click Apply to save your settings. 

    Marco
  • 0
    You can't upload the certificate for the smtp proxy within the webadmin.

    Marco, Are you sure of that?  In the 'TLS Settings' box, you can select a 'TLS certificate' from a drop-down box.  That box lists all of the certs found on the 'Certificates' tab in 'Certificate Management'.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes Bob, you are right, my mistake. You have to create a PKCS#12 container which 
    contains the private key and the corresponding (in best case signed by an official CA) 
    certificate and upload this at  Site-to-site VPN >> Certificate Management >> 
    Certificate. 

    In the past you had to manually replace the keypair from exim daemon but this wasn't included in the backup. 

    Marco
  • 0
    Thanks, Marco, but, to be precise, I guessed right! [;)]

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Ok, I'm ready to give this a shot.  I know the basics about openssl req to generate a private key and csr, and I can get that signed by my commercial CA, but I don't know how to create a PKCS#12 format containing the private key and signed cert.  Any hints?  I suppose the CN for the private key should be the SMTP host name of the astaro?
  • 0
    Hi Brian,

    here's the command:

    exim.key - private key
    exim.pem - public key

    # openssl pkcs12 -export -inkey exim.key -in exim.pem -nodes -out tlscert.p12

    I would choose the smtp hostname as CN.

    Marco
  • 0
    I'm not familiar with exim.key and exim.pem.  I ran the following:
    openssl req -newkey rsa:2048 -keyout asg-key.pem -out asg-csr.pem -nodes

    And filled in the Organization, state, city, department and common name appropriately.

    I then copy/pasted asg-csr.pem into GoDaddy's SSL site, waited a few hours and got back a zip with a .crt and gd_bundle.crt (presumably the latter is GoDaddy's CA certificate).

    I then used the pkcs12 -export command like you have above to create a .p12 file that I uploaded in Site-To-Site VPN/ Certificate Management.
    cat asg-key.pem asg.crt gd_bundle.crt >temp.pem
    openssl pkcs12 -export -in temp.pem -out gd-asg.p12 -name "GoDaddy signed cert"


    I went into the Astaro's SMTP Advanced settings, under TLS and select the key I uploaded in Site-to-Site.

    Unfortunately the Blackberry's still trip up when doing SMTP to the astaro.  Any obvious mistakes in my method?

    Brian
Unfiltered HTML