Extern generiertes SSL Zertifikat automatisiert an die UTM von remote (LAN) verteilen und aktivieren...

Moin,

...da die LetsEncrypt ACMEv2 WildcardCertificate unterstützung durch Sophos ja nun offensichtlich nicht implementiert wurde (und wahrscheinlich auch nicht wird) generieren wir nun LE WildCard Certificates auf einer pfSense mit der wir eines unserer Offices via IPSec an unser Rechenzentrum mit unseren UTMs anbinden...weiter sind auch noch diverse REDs und WiFi APs im spiel...natürlich sind sowohl pfSense als auch UTM HotStandby Cluster...soweit zur ist Situation...

Die LE WildCardCerts müssen nun alle 60/90 Tage aktualisiert werden, pfSense kann das und benutzt es auch gleich selbst...

Weiter habe ich diverse scripte gebaut, die das aktuelle LE WCC an alle möglichen anderen Server (via ssh/scp) im internen Netz verteilen (apaches, tomcats, nginx, etc...)...

Ich habe versucht raus zu finden wie man das Richtung Sophos UTM machen würde, aber anscheinend ist das nur halb so einfach wie ich mir das wünschen würde...Ich kann mir aber auch nur schwerlich vorstellen, das ich der Einzige und Erste bin der sowas tun will...

Hat jemand dieses oder ein ähnlich geartetes Verfahren bereits umgesetzt oder ggf. einfach nur den einen oder anderen klugen tipp dazu...???

Danke und Gruß

  • Hi,

    ich hatte mit Version 9.5 da mal vor einiger Zeit über die REST API versucht das Zertifikat upzudaten.

    Der Bereich den Du verwenden musst verbirgt sich unter CA -> host_key_cert -> {ref} über PATCH kannst Du das Zertifikat austauschen. Den REF für das Zertifkat musst Du Dir halt raussuchen.

    Aber Achtung ich habs geschafft dass ich mir das Zertifkat das für den WEBAdmin verwendet wurde zerschossen habe. Danach konnte ich mich nicht mehr anmelden.

    Einen kleine Schönheitsfehler hatte ganze auch noch, in der Zertifkatsverwaltung von Sophos wurden die Metadaten des Zertifikats nicht aktualisiert. d.h. es wurde immer das alte abgelaufene Zertifkat angezeigt obwohl die Sophos das aktuelle Zertifikat verwendet hat.

    Den Fehler hab ich leider nicht wegbekommen, und nachdem die Sophos mit Version 9.6 die LE Zertifkate unterstützt hat und ich keine Wildcard Zertifikate brauche hab ich das dann auch nicht mehr weiter verfolgt.

    Die komplette Befehlszeile für das Update lautete bei mir:

    curl -i -X PATCH --header "Content-Type: application/json" --header "Accept: application/json" --header "Authorization: Basic token" -d "{\"certificate\":\"%cert%\"}" "https://UTM ip:4444/api/objects/ca/host_key_cert/Zertifikatsref"

    Das Zertifkat muss als Text ohne Zeilenumbrüche formatiert sein. Ich hatte das damals über openssl und vi automatisiert.

    Grüße Thomas