Errors trying to regenerate certificates (Heartbleed mitigation)

Hi all,

My home UTM is throwing an error when I try regenerate certificates and signing CA under the Remote Access->Certificate Management->Advanced

The Confd reported an error without providing any details. 


Any ideas? FWIW, I was able to reset my WebAdmin cert without any trouble.
  • In reply to BAlfson:

    Bravo, slickone27!  Great news!  I hadn't heard of anyone trying this before.  I've linked to your post above in The Zeroeth Rule in Rulz.

    Cheers - Bob


    Thanks! I figured I would give it a try and see if I could avoid re-creating all the NAT / FW rules I have and thankfully it worked.

    ...And on a side note if anyone is looking for good hardware to run this on the Shuttle DS61 mini system with an i3 and 4gb of RAM doesn't even break a sweat running with EVERYTHING enabled (IPS etc) and I get full speed with my FiOS 150/65 service. And it is small enough to fit almost anywhere. I have mine in my media box which is inside a closet...
  • Just remembered I forgot to reply here - this fix worked great, thanks slikone27.  

    I think this is actually an easier fix than the Sophos KB - all the certificates are reset automatically and you don't need to worry about shell or manual resets anywhere.  I just wish I'd known this first! Smile
  • In reply to utmfan:

    Just remembered I forgot to reply here - this fix worked great, thanks slikone27.  

    I think this is actually an easier fix than the Sophos KB - all the certificates are reset automatically and you don't need to worry about shell or manual resets anywhere.  I just wish I'd known this first! [Smile]


    Not a problem! Glad I could help.  I got lucky and just thought I would give it a shot before redoing everything [Smile]
  • @ slikone27

    I found this thread because of the Rulz thead,
    So
    I'm getting ready to swap hardware,(faster, more ETHs more RAM , more HD space ...)
    so according to your experience , I should :

    -create a BKP excluding site specific data,
    then what, ?
    -Do I install then restore
    or can I get to the restore thing right during the install
    or ????

    Thanks
  • When you restore a configuration backup, you are logged out of WebAdmin.  When the backup doesn't contain site-specific data, the next connection to WebAdmin presents you with the first screen of the Installation Wizard where you give the UTM a hostname that must be an FQDN resolvable in public DNS to the IP of the External interface.

    After the UTM comes up, you must re-assign the Address(es) on the interfaces, taking care to change the Internal interface last if necessary.  You also may need to enable any site-to-site VPNs.

    Cheers - Bob
  • In reply to BAlfson:

    When you restore a configuration backup, you are logged out of WebAdmin.  When the backup doesn't contain site-specific data, the next connection to WebAdmin presents you with the first screen of the Installation Wizard where you give the UTM a hostname that must be an FQDN resolvable in public DNS to the IP of the External interface.

    After the UTM comes up, you must re-assign the Address(es) on the interfaces, taking care to change the Internal interface last if necessary.  You also may need to enable any site-to-site VPNs.

    Cheers - Bob


    Will this keep any RED settings or will that need to be recreated?  Specifically will the RED itself no longer recognise the UTM?
  • Yes, I'm sure you're right though I've not done this at a site that has REDs.  The RED configuration depends on certificates that will have changed.  You will need to re-install the REDs, so you will need the 'Unlock code' from each.

    Cheers - Bob
  • In reply to slikone27:

    I fixed all my issues by doing a backup of the new firmware without the site specific data (certs, etc) and then restoring it.  Then just walking through the initial setup really quickly and everything worked great and I didn't have to start from scratch.  I have a lot of firewall/nat rules so that would have been a pain.  I really suggest doing it this way since it will re-create all the certs for you.


    Does anyone know if this "trick" still works with version 9.308-16 ?

    I tried several times today to restore a backup created with 9.308-16 using this method and every time the UTM completely hung up on the "Welcome to WebAdmin" screen after pressing the "Perform basic system setup" button (see attached).  I tried rebooting the system and also tried logging back in with manual IP config (no DHCP), but the web UI was completely locked up along with my whole network. 

    The backup I was using was created with only the remove "Unique site data (License, passwords, certificates/keys, endpoints)" checkbox selected.

    The UTM I'm running is software running on bare metal (no VM).

    The only way I was able to recover was to login as "root" on the CLI and do a manual restore of the last good backup made immediately prior to the backup with "Unique site data" removed.

    Also, once the system was back up and running, I received the following email notices from the Firewall Notification System:

    [host.domain.example][INFO-141] Http proxy not running - restarted
    [host.domain.example][CRIT-310] Up2Date prefetch failed
    [host.domain.example][INFO-112] Middleware not running - restarted
    [host.domain.example][INFO-007] Successful console login

    Obviously, "host.domain.example" is not my Hostname Big Smile

    Any ideas?

    Thanks,

    - Ben
  • After pressing [Perform basic system setup], you have to wait a minute or so, Ben.

    Cheers - Bob
  • In reply to BAlfson:

    After pressing [Perform basic system setup], you have to wait a minute or so, Ben.

    Cheers - Bob


    Thanks Bob.

    Does this restore take longer than normal?

    When I've previously restored, it usually does take a minute or two before the system reboots.  However, this time the system sat for 10 or 15 minutes (I didn't time it exactly) before I did a manual, hard reset.

    Also, the last time I did the CLI restoration of the last good backup (immediately after a hard reset following a "hung" restore), the system didn't even reboot at all.  Immediately after I did the CLI restore, I had "top" open and was just monitoring things, when after a few minutes, I noticed that my other PC had pulled its static address from the UTM and had connected to the internet and was downloading email (all without my intervention and without a reboot of the UTM).

    Thanks,

    Ben
  • In reply to THXEngineer:

    Thanks Bob.

    Does this restore take longer than normal?

    When I've previously restored, it usually does take a minute or two before the system reboots.  However, this time the system sat for 10 or 15 minutes (I didn't time it exactly) before I did a manual, hard reset.

    Also, the last time I did the CLI restoration of the last good backup (immediately after a hard reset following a "hung" restore), the system didn't even reboot at all.  Immediately after I did the CLI restore, I had "top" open and was just monitoring things, when after a few minutes, I noticed that my other PC had pulled its static address from the UTM and had connected to the internet and was downloading email (all without my intervention and without a reboot of the UTM).

    Thanks,

    Ben


    doing the restore by cli isn't recommended..but if it works.  I have always used the webadmin to do a restore but i have never done it at system initialization.  I go through the entire setup and setup the internal nic.  Once that is done THEN do the restore from inside the webadmin doing the other way tends to not work...so ignore the system backup at initial bootup.  So basically a dummy setup with the internal nic set so you can access it and then do the restore from there.  Give things a few minutes to propagate.
  • Just to clarify:

    Is the restore to be performed after a "fresh installation" of the UTM from a DVD, etc?

    Here's the sequence I've been following:

    -  From WebAdmin, perform a backup with Unique Site Data removed
    -  From WebAdmin, restore the backup that was just made
    -  After the restore completes, WebAdmin logs out, then the Basic System Setup screen appears in WebAdmin (that I showed in my previous post)
    -  Fill out the Basic System Setup screen in WebAdmin (as shown in previous post) and press the [Perform basic system setup] button
    -  System "hangs" with no network or internet access on any attached devices
    -  After 30 minutes waiting for system to reboot, I performed a hard reboot (I timed it this time)
    -  System rebooted "normally" and normal CLI login prompt appears with correct IP address of UTM on a monitor that I have directly attached to the UTM PC
    -  No PC's on network are pulling static IP's or dynamic DHCP assigned addresses and no internet access (waited for 10 minutes and no changes)
    -  Using a keyboard and monitor attached directly to UTM PC, login as "root" on CLI
    -  From CLI, using keyboard and monitor attached directly to UTM PC, performed a manual restore of the last good backup using "backup.plx -n cfg_***xx_*********x -i"
    -  After CLI manual restore completed, performed a hard reset of the UTM PC
    -  After UTM reboot completed, system and network back up operating as normal.

    Am I missing a step somewhere or doing something wrong?

    Thanks,

    Ben
  • first print out your rules and configurations manually just in case.

    yes...
    I've never done a bakcup with unique data removed if i am restoring to the same configuration i am ot sure why one would do this.

    anyways.

    make a backup with uniqwue data..then make one without.  do not restore them.

    reload form scratch.  When the system comes up run through the setup wizard DO NOT RESTORE BACKUP AT THIS TIME.
    use dummy info for everything except for the internal interface enter the ip for that manually.
    when system reboots and the setup begins use dummy information here DO NOT RESTORE THE BACKUP.
    once the initial setup is done log into webadmin and restore the backup without unique data.  wait 5 minutes.
    see if things work well if so then restore the unique site backup..wait 10 minutes.
    see if htings are ok.
  • if this fails then you have a corruption in your configuration and therefore in your backups..rebuild from scratch(also contact support).
  • In reply to William Warren:


    I've never done a bakcup with unique data removed if i am restoring to the same configuration i am ot sure why one would do this.


    My bad.  I misunderstood the sequence in slickone27's "trick" to regen the certs.  I wasn't clear if I had to do the restore from a fresh installation or could just do everything from within WebAdmin without performing a new installation.


    once the initial setup is done log into webadmin and restore the backup without unique data.  wait 5 minutes.
    see if things work well if so then restore the unique site backup..wait 10 minutes.
    see if htings are ok.


    Won't the restore using "Unique Site Data" overwrite the new certificates (that I just re-generated) with the old certificates?

    Thanks,

    Ben