Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 14638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intermediate CA Problem mit gekauften Zertifikat fürs UserPortal

Seekin
Hallo,

ich habe eine UTM 9.105-9 in der Home Variante.

Hier habe ich über den Weg mit OpenSSL und pkcs12 ein Zertifikat installiert. (Über den WebAdmin -> Management -> WebAdmin --> HTTPS Zertifikat, welches vorher als p12 im Certificate Management hochgeladen wurde)

Jedoch geben mir Online Tests und versuche das UserPortal aufzurufen immer noch fehler auf, da das Intermediate CA-Zertifikat von Geotrust auf dem Server fehlt. Dieses Mit in die p12 Datei einzubinden zeigt keine Wirkung und auch ein Import über Remote Access -> Certificate Management -> Certificate Authorities zeigte keine Wirkung (das zweite scheint nur für die WebApplication Firewall zu funktionieren)

Wenn ich jedoch das Intermediate Certificate über SSH auf den Server downloade und direkt in die Konfigurationsdatei des UserPortal vHosts einbinde, funktioniert alles.

Aber es müsste doch einen Weg gehen, das über den WebAdmin zu regeln und nicht immer so tief ins System eingreifen zu müssen? Oder liege ich da falsch, oder noch schlimmer, mache ich irgendwas falsch?



Grüße Seekin


This thread was automatically locked due to age.
  • 0
    Hi Seekin,

    habe hier mit unserer UTM320 (9.106-17) das gleiche Problem.
    Hast Du dazu schon irgendwas gehört?

    Gruß,
    Intruder73
  • 0
    Hmm also bei mir funktioniert das, allerdings mit der CA von StartSSL, dort kann ich auch direkt das erforderliche PKCS12 generieren lassen. Wie habt ihr denn das Zertifikat erstellt (genauer Aufruf)? Deinem Posting entnehme ich auch, dass Du vermutlich an falscher Stelle das Zertifikat auswählst: "WebAdmin -> Management -> WebAdmin --> HTTPS Zertifikat" legt das *WebAdmin* Zertifikat fest, nicht das für's User Portal.

    Wichtig zu wissen ist auch, dass das Zertifikat natürlich nur die im CN und ggfs. 'Subject Alternative Names' genannten Hostnamen abdeckt. Die CA wird sicherlich nicht die IP-Adressen der UTM in das Zertifikat mit aufnehmen, d.h. Ihr müsst den WebAdmin oder das User Portal dann auch wirklich über DNS und nicht per IP aufrufen (Sagt Euch aber auch der [gute] Browser, woran die Validierung tatsächlich scheitert).
  • 0 in reply to trollvottel
    Hallo trollvottel,

    danke für die Antwort, aber "WebAdmin -> Management -> WebAdmin Settings -> HTTPS Zertifikat" führt mich zu dem Punkt "Choose WebAdmin/User Portal certificate", der das Zertifikat für WebAdmin UND UserPortal festlegt.

    Die Zuordnung des Zertifikats funktioniert auch, es wird nur leider die Intermediate-CA von Startcom (StartSSL) - die ist es auch bei mir - nicht an den Browser in der Chain übertragen.

    In dem importierten P12-Archiv ist Sie - wie auch von Dir schon erwähnt - enthalten und danach auch im Zertifikats-Store auf der UTM. Wird aber einfach nicht gesendet.

    Siehe auch AstaroOS: Support intermediate CAs

    Gruß,
    Intruder73
  • 0
    Hi, ja stimmt, ist wirklich für beides, WebAdmin & User Portal. Tut bei mir aber dennoch [[:)]]

    Und ja es stimmt auch - habe nachgesehen - das Intermediate CA Zertifikat ist tatsächlich nicht teil des gesendeten Zertifikats. Ich habe auch herausgefunden, warum es bei mir trotzdem so aussieht, als würde es funktionieren: Firefox legt die intermediate CA Zertifikate im Store ab, wenn man Webseiten besucht, die das Zertifikat mit ausliefern. Also war ich natürlich vorher schonmal auf einer anderen von StartSSL signierten Webseite gewesen und flupp meckerte er bei mir auch nicht mehr beim WebAdmin und User Portal rum.

    Es ist also tatsächlich ein Bug. Im Bugtracker gab's den sogar schon: #26615, ist sogar für v9.200 vorgesehen, ist aber noch nicht implementiert (auch noch nicht in der kommenden Beta), also ich kann hier natürlich nichts versprechen.

    Edit: Hint, über einen dirty Trick geht es trotzdem: Ein host-objekt für 127.0.0.1 anlegen und als webserver für den HTTPS-Reverse-Proxy konfigurieren. Denn der Reverse-Proxy beherrscht intermediate CAs und hat noch den netten Vorteil, dass man den Standard-SSL Port auch für WebAdmin oder User Portal nutzen kann [[:)]]
  • 0
    Hallo,

    auch wenn ich diesen alten Thread nochmal hochhole, es gibt immernoch keine saubere Lösung dafür, ich würde immer noch die möglichkeit auf der Console bevorzugen, als den Reverseproxy noch dazwischenzuklemmen, da man ja im Endeffekt die Änderungen, die es im WebAdmin geben sollte nur auf der Console nachholt, ich hoffe dass das bald implementiert wird [:)] Bis dahin bastel ich halt weiter rum, ich weiss ja wies geht und so oft installier ich die UTM auch nicht neu. Ist halt nur schade.

    Grüße Seekin
  • 0 in reply to Seekin
    Sorry, aber ich hohle den jetzt auch nochmal hervor.
    Das Problem ist ja immer noch nicht gelöst und somit immer noch aktuell.
    Gibt es dazu schon irgendwelche Neuigkeiten?

    Gruß,
    Intruder73
  • 0 in reply to Intruder73
    Gerade getestet mit UTM 9.2. Das Problem besteht leider weiterhin, es wird nur das letzte Cert in der Kette an den Client gesendet. Die intermediate und root Certs hingegen nicht.

    Test mit openssl s_client:
    verify error:num=21:unable to verify the first certificate

    Ist eine Implementierung für Version 9.3 geplant?
  • 0 in reply to trollvottel
    h kann hier natürlich nichts versprechen.

    Edit: Hint, über einen dirty Trick geht es trotzdem: Ein host-objekt für 127.0.0.1 anlegen und als webserver für den HTTPS-Reverse-Proxy konfigurieren. Denn der Reverse-Proxy beherrscht intermediate CAs und hat noch den netten Vorteil, dass man den Standard-SSL Port auch für WebAdmin oder User Portal nutzen kann [:)]


    Zertikfikat von Globalsign - als Verifizierungs-CA vorhanden

    ssl check meckert es an ... [:(] 

    Tweak geht auch nicht:

    meckert, dass 127.0.0.1 eine loopback ist :-/
  • 0
    Prinzipiell muss sich noch einiges tun was SSL angeht.

    Einmal diese Intermediate Geschichte, dann z.B. PFS für den SMTP Proxy (welcher sogar noch RC4 unterstützt, das ja geknackt ist), die aktuelle OpenSSL Lücke....

    Aber das bitte in einem Up2Date das mir nicht gleich wieder die UTM zerlegt, beim aktuellen 9.203-3 ging mein Webadmin nicht mehr, war dann gezwungen neuzuinstallieren auf 9.201-25 und n Backup zu laden, hoffe das da bald n besseres Update kommt.
  • 0 in reply to jlan
    Hier ein Tweak von mir

    https://www.astaro.org/gateway-products/general-discussion/50364-no-luck-using-ssl-certificate-webadmin-user-portal-3.html#post293169

    Gilt aber nur für SPX Portal, nicht für Benutzerportal


    Zertikfikat von Globalsign - als Verifizierungs-CA vorhanden

    ssl check meckert es an ... [:(] 

    Tweak geht auch nicht:

    meckert, dass 127.0.0.1 eine loopback ist :-/
Unfiltered HTML