Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.6 Lets Encrypt Zertifikate

Hallo Zusammen.

Die 9.6er Version hat ja die Möglichkeit lets encrypt Zertifikate zu verwalten.

Ich habe folgendes  Problem.

Hinter der Sophos ist ein Nextcloud Server, die über HTTPS läuft und laufen muss.

Bisher musste ich die Zertifikate manuel, durch eine Nat Regel aktualisieren.

Wie kann ich das da mit den Zertifikaten realisieren? Ich benötige ja das Zertifikat in der Sophos auf dem Nextcloud Server?

Vielen Dank im Voraus!



This thread was automatically locked due to age.
Parents
  • Hi Robert,

    die UTM kann Zertifikate über Let's Encrypt erzeugen, die durch sämtliche Module der UTM verwendet werden können.

    Wenn deine Nextcloud per DNAT veröffentlicht ist, hast du nichts davon.

    Wenn du deine Nextcloud statt per DNAT über die WAF veröffentlichst, kannst du im Virtuellen Webserver das Let's Encrypt Zertifikat verwenden.

    Dann nimmst du für die Kommunikation zwischen Nextcloud und UTM etwas selbstsigniertes und nach draußen das öffentliche.

    Alternative per UTM das Zertifikat erzeugen, exportieren und im Nextcloud einspielen - müsstest du monatlich von Hand machen.

     

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

  • Hallo Lukas.

    Danke dir für die Antwort.

    DNAT aktiviere ich nur, um die Zertifikate monatlich zu aktualisieren.

    Das Problem mit zwei verschiedenen Zertifikaten ist zum Beispiel, dass in der Nextcloud der DAV Dienst nicht mehr funktioniert, weil das Eingangszertifikat in der Sophos anders ist als das auf dem Webserver.

    Ich verstehe dann den Sinn nicht ganz, wozu Sophos diese Funktion eingebaut hat, nur um das Zertifikat für die UTM aktuell zu halten? Die Systeme dahinter wurden da wohl vernachlässigt?

     

  • Hallo Robert,

    Sophos bietet das WAF Modul an, um unsichere Services sicherer veröffentlichen zu können.

    Zielsysteme sind also welche, die entweder nur Klartext können, oder die so unsauber programmiert sind, dass man sich ohne einen gehärteten Reverseproxy nicht traut diese im Internet zu betreiben.

    Zweite Zielgruppe sind Umgebungen mit nur einer öffentlichen IP aber mehreren zu veröffentlichenden Services (Content Switching).

    Dass zwei verschiedene Zertifikate verwendet werden ist in kleineren Umgebungen auch nicht unüblich (ein internes für den internen fqdn und an der WAF ein externes für den externen).

     

    Woran machst du fest, dass DAV ein Problem damit hat?

     

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

Reply
  • Hallo Robert,

    Sophos bietet das WAF Modul an, um unsichere Services sicherer veröffentlichen zu können.

    Zielsysteme sind also welche, die entweder nur Klartext können, oder die so unsauber programmiert sind, dass man sich ohne einen gehärteten Reverseproxy nicht traut diese im Internet zu betreiben.

    Zweite Zielgruppe sind Umgebungen mit nur einer öffentlichen IP aber mehreren zu veröffentlichenden Services (Content Switching).

    Dass zwei verschiedene Zertifikate verwendet werden ist in kleineren Umgebungen auch nicht unüblich (ein internes für den internen fqdn und an der WAF ein externes für den externen).

     

    Woran machst du fest, dass DAV ein Problem damit hat?

     

    Gruß Lukas

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

Children
  • Hallo  Lukas,

    danke dir für deine Erklärung.

    Diese Meldung findet man in den Nextcloud-Einstellungen, wenn man von Extern auf die Cloud zugreift.

     


    Wenn ich jedoch Lokal auf diese Cloud zugreife ist diese Meldung nicht vorhanden.

     

     

    Hier habe ich folgendes gefunden:

    https://forum-raspberrypi.de/forum/thread/10707-webdav-vermutlich-defekt/?postID=92407#post92407

  • Die Owncloud sollte Zertifikatsthemen nur mitbekommen wenn sie entweder auf SSL-Ebene versucht mit dem Client zu kommunizieren (SSL Cert-Auth) oder wenn sie versucht Hostnames aus den Headern gegen das eigene Zertifikat oder den eigenen Hostname zu prüfen.

     

    Stimmt der Hostname im Zertifikat der owncloud mit dem überein, was von extern aufgerufen wird? funktioniert der Aufruf von Intern (wenn ja, mit dem Selben Namen wie von extern?)

    Verwendest du Zertifikatsauthentifizierung?

     

    Gerade mal durch ein paar Owncloud Forenbeiträge geflogen zum Theme Cert Auth bei DAV

    folgende Konfig Datei:

    /var/www/owncloud/3rdparty/Sabre/DAV/Client.php

    diese Parameter:

    CURLOPT_SSL_VERIFYPEER

    CURLOPT_SSL_VERIFYHOST

    lna@cema

    SCA (utm+xg), SCSE, SCT

    Sophos Platinum Partner

  • ich habe den Owncloud Link nur als Beispiel eingefügt, weil Nextcloud auf Owncloud aufsetzt.

     

    Was genau meinst du mit Zertifikatsauthentifizierung? Wo genau?

     

    der hostname intern ist genau der selber wie extern. eher gesagt, intern sind es ja auf dem linux server eigene domains die aufgerufen werden cloud.xxx-xxxx.de zum beispiel. genauso ist die domain auch von extern erreichbar und für diese domain wurde auch das zertifikat registriert.

     

    im Virtuellen Webserver für Nextcloud ist "Host-Header durchreichen" aktiv.