This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Errors trying to regenerate certificates (Heartbleed mitigation)

Hi all,

My home UTM is throwing an error when I try regenerate certificates and signing CA under the Remote Access->Certificate Management->Advanced

The Confd reported an error without providing any details. 


Any ideas? FWIW, I was able to reset my WebAdmin cert without any trouble.


This thread was automatically locked due to age.
  • Is there any information in the confd log file?  Do you have a new CA and "(Regenerated)" certs?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi utmfan!

    I'm having the same issue ASG 220 device... Were you able to resolve it? I tried to reboot, but didnt make any difference...
  • Is there any information in the confd log file?  Do you have a new CA and "(Regenerated)" certs?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.


    confd log:

    2014:04:14-07:37:40 utmfan confd[7122]: E Use of uninitialized value $enddate in pattern match (m//) at /Object/ca/signing_ca.pm line 359.
    
    2014:04:14-07:37:40 utmfan confd[7122]:
    2014:04:14-07:37:40 utmfan confd[7122]: 1. sys::_warn:54() /sys.pm
    2014:04:14-07:37:40 utmfan confd[7122]: 2. Object::ca::signing_ca::ca_generate_signing_ca:359() /Object/ca/signing_ca.pm
    2014:04:14-07:37:40 utmfan confd[7122]: 3. Object::ca::signing_ca::ca_regenerate_signing_ca:473() /Object/ca/signing_ca.pm
    2014:04:14-07:37:40 utmfan confd[7122]: 4. (eval):1() (eval 1351)
    2014:04:14-07:37:40 utmfan confd[7122]: 5. sys::AUTOLOAD:356() /sys.pm
    2014:04:14-07:37:40 utmfan confd[7122]: 6. (eval):1() (eval 1349)
    2014:04:14-07:37:40 utmfan confd[7122]: 7. Astaro::RPC::server_loop:198() /rpc.pm
    2014:04:14-07:37:40 utmfan confd[7122]: 8. rpc::launch:50() /rpc.pm
    2014:04:14-07:37:40 utmfan confd[7122]: 9. main::_rpc:2189() confd.pl
    2014:04:14-07:37:40 utmfan confd[7122]: 10. main::top-level:394() confd.pl 


    None of my certs have regenerated - they're all still the old dates.  I could delete and re-create them, but I would still be using the old (potentially compromised) signing CA, would I not?
  • I am also having the same issue.  I would really like to avoid having to factory reset and reconfigure the whole thing.  Any fix for this issue would be appreciated.
  • Hi, godstian and slikone27, and welcome to the User BB!

    The only thing I can think of would be to restore a configuration backup from before the Up2Date.  If that doesn't work, then if any of you have a paid license, you should have your reseller open a case with Sophos Support.

    Maybe someone else has a better solution than re-imaging from ISO and restoring a configuration backup.  If this was a new install, then I also would recommend looking at the checksum and burning a new CD no faster than 4x.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi all,

    My home UTM is throwing an error when I try regenerate certificates and signing CA under the Remote Access->Certificate Management->Advanced

    The Confd reported an error without providing any details. 


    Any ideas? FWIW, I was able to reset my WebAdmin cert without any trouble.


    I have a support case open on this very issue..right now they are trying to figure out what's going on..it's preventing me from regenerating the ssl remote access which takes out the html5 and ssl vpn options which this client uses muchly.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • I have a support case open on this very issue..right now they are trying to figure out what's going on..it's preventing me from regenerating the ssl remote access which takes out the html5 and ssl vpn options which this client uses muchly.


    ok i restored the 9.109 config backup to my 9.2ga and that got the error solved.  Now you HAVE to do some cli stuff to properly regen the webadmin cert.  If you don't then all of the other certs also aren't properly regened either.  here's the link to the procedure you have to do first.  I have confirmed with Support this procedure MUST be done first.

    Heartbleed: Recommended steps for UTM

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • BTW the country code must be two letters in lowercase when you are typing in the long string of stuff in RAW mode to regen the CA.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • This text is WRONG:
    Note: Adapt the country, state, city, organization, common_name and email strings to your own UTM settings (country field must be in caps - eg. CA, DE)

    if you put the country code in caps the regen will fail.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • Thanks for the update, William - much appreciated! I'll give this a go today and post back my results.