Errors trying to regenerate certificates (Heartbleed mitigation)

Hi all,

My home UTM is throwing an error when I try regenerate certificates and signing CA under the Remote Access->Certificate Management->Advanced

The Confd reported an error without providing any details. 

Any ideas? FWIW, I was able to reset my WebAdmin cert without any trouble.
  • Is there any information in the confd log file?  Do you have a new CA and "(Regenerated)" certs?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • Hi utmfan!

    I'm having the same issue ASG 220 device... Were you able to resolve it? I tried to reboot, but didnt make any difference...
  • In reply to BAlfson:

    Is there any information in the confd log file?  Do you have a new CA and "(Regenerated)" certs?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.

    confd log:

    2014:04:14-07:37:40 utmfan confd[7122]: E Use of uninitialized value $enddate in pattern match (m//) at /Object/ca/ line 359.
    2014:04:14-07:37:40 utmfan confd[7122]:
    2014:04:14-07:37:40 utmfan confd[7122]: 1. sys::_warn:54() /
    2014:04:14-07:37:40 utmfan confd[7122]: 2. Object::ca::signing_ca::ca_generate_signing_ca:359() /Object/ca/
    2014:04:14-07:37:40 utmfan confd[7122]: 3. Object::ca::signing_ca::ca_regenerate_signing_ca:473() /Object/ca/
    2014:04:14-07:37:40 utmfan confd[7122]: 4. (eval):1() (eval 1351)
    2014:04:14-07:37:40 utmfan confd[7122]: 5. sys::AUTOLOAD:356() /
    2014:04:14-07:37:40 utmfan confd[7122]: 6. (eval):1() (eval 1349)
    2014:04:14-07:37:40 utmfan confd[7122]: 7. Astaro::RPC::server_loop:198() /
    2014:04:14-07:37:40 utmfan confd[7122]: 8. rpc::launch:50() /
    2014:04:14-07:37:40 utmfan confd[7122]: 9. main::_rpc:2189()
    2014:04:14-07:37:40 utmfan confd[7122]: 10. main::top-level:394() 

    None of my certs have regenerated - they're all still the old dates.  I could delete and re-create them, but I would still be using the old (potentially compromised) signing CA, would I not?
  • I am also having the same issue.  I would really like to avoid having to factory reset and reconfigure the whole thing.  Any fix for this issue would be appreciated.
  • Hi, godstian and slikone27, and welcome to the User BB!

    The only thing I can think of would be to restore a configuration backup from before the Up2Date.  If that doesn't work, then if any of you have a paid license, you should have your reseller open a case with Sophos Support.

    Maybe someone else has a better solution than re-imaging from ISO and restoring a configuration backup.  If this was a new install, then I also would recommend looking at the checksum and burning a new CD no faster than 4x.

    Cheers - Bob
  • Hi all,

    My home UTM is throwing an error when I try regenerate certificates and signing CA under the Remote Access->Certificate Management->Advanced

    The Confd reported an error without providing any details. 

    Any ideas? FWIW, I was able to reset my WebAdmin cert without any trouble.

    I have a support case open on this very issue..right now they are trying to figure out what's going's preventing me from regenerating the ssl remote access which takes out the html5 and ssl vpn options which this client uses muchly.
  • In reply to William Warren:

    I have a support case open on this very issue..right now they are trying to figure out what's going's preventing me from regenerating the ssl remote access which takes out the html5 and ssl vpn options which this client uses muchly.

    ok i restored the 9.109 config backup to my 9.2ga and that got the error solved.  Now you HAVE to do some cli stuff to properly regen the webadmin cert.  If you don't then all of the other certs also aren't properly regened either.  here's the link to the procedure you have to do first.  I have confirmed with Support this procedure MUST be done first.

    Heartbleed: Recommended steps for UTM
  • BTW the country code must be two letters in lowercase when you are typing in the long string of stuff in RAW mode to regen the CA.
  • This text is WRONG:
    Note: Adapt the country, state, city, organization, common_name and email strings to your own UTM settings (country field must be in caps - eg. CA, DE)

    if you put the country code in caps the regen will fail.
  • Thanks for the update, William - much appreciated! I'll give this a go today and post back my results.
  • also when i did the regen i did not get the 2 on the end.  I am assuming this is because the original certificate objects go restored into an invalid state.  I have verified by the generation date that all certificates were regenerated though...Smile
  • That fix didn't work for me, unfortunately.

    I was okay with the restore of a 9.109 backup, then I reset the webadmin CA with SSH, then regenerated the Webadmin cert - all fine. 

    But when I try to regenerate the remote access/site-to-site signing CA it fails with the error above (about the $enddate variable).
  • I fixed all my issues by doing a backup of the new firmware without the site specific data (certs, etc) and then restoring it.  Then just walking through the initial setup really quickly and everything worked great and I didn't have to start from scratch.  I have a lot of firewall/nat rules so that would have been a pain.  I really suggest doing it this way since it will re-create all the certs for you.
  • In reply to slikone27:

    I fixed all my issues by doing a backup of the new firmware without the site specific data (certs, etc) and then restoring it.  Then just walking through the initial setup really quickly and everything worked great and I didn't have to start from scratch.  I have a lot of firewall/nat rules so that would have been a pain.  I really suggest doing it this way since it will re-create all the certs for you.

    Yeah, looks like that's what I'll have to do. Thanks for the tip!
  • I fixed all my issues by doing a backup of the new firmware without the site specific data (certs, etc) and then restoring it. Then just walking through the initial setup really quickly and everything worked great and I didn't have to start from scratch. I have a lot of firewall/nat rules so that would have been a pain. I really suggest doing it this way since it will re-create all the certs for you.

    Bravo, slickone27!  Great news!  I hadn't heard of anyone trying this before.  I've linked to your post above in The Zeroeth Rule in Rulz.

    Cheers - Bob