Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webserver Protection - Zertifikat ist nicht auswählbar

Moin,

ich muss mich zum ersten Mal mit der Webserver Protection auseinandersetzen. Dabei habe ich das Problem, dass ich beim Anlegen einer neuer Firewall Regel, das Zertifikat nicht auswählen kann.

Was habe ich bisher gemacht?

1. Das Zertifikat ist von Sectigo. Es wurde ausgestellt für "outlook.drk...." und für "autodiscover.drk...." Es hat keinen Privaten Schlüssel.

Da Sectigo nicht als vertrauenswürdige CA geführt wird, habe ich diese mit dem Root Zertifikat hinzugefügt. Dann habe ich das Zertifikat hochgeladen. Es wird nun auch als vertrauenswürdig mit einem grünen Haken angezeigt.

2. Als nächstes habe ich einen Webserver angelegt. Dabei hat der Host unsere interne IP des Exchange Servers. Typ ist HTTPS. Keep Alive ist ON. Bündelung der Hintergrundverbindung deaktivieren ist OFF.

3. Nun habe ich eine neue Webserver Richtlinie angelegt. Also unter Webserver / Richtlinie zum Schutz / Hinzufügen. Die neue Richtlinie "Exchange 2019 Webservices" angelegt. Dafür habe ich die Vorgaben von hier übernommen. Link

Im Anschluss habe ich eine weitere Regel für Exchange 2019 Autodiscover angelegt. Auch nach den Vorgaben von Frankysweb.

4. Jetzt kommen wir zum eigentlichen Problem. Wenn ich nun eine neue Firewall Regel anlegen will, Wähle ich oben bei Maßnahme "Mit Webserverschutz schützen" aus und bei "Gehostete Server" wähle ich HTTPS. Jetzt werden die Zertifikate vorgeschlagen. Leider wird mir hier das Zertifikat nicht angezeigt.

Das Zertifikat ist HTTPS.  Habe ich einen Fehler gemacht? Wenn ja wo? Oder hängt dies mit dem Zertifikat von Sectigo zusammen?

Über eine (für einen Anfänger nachvollziehbare) Lösung würde ich mich (natürlich) freuen. 

 

Gruß Karsten



This thread was automatically locked due to age.
  • Solch ein Zertifikat hat "Verwendungszwecke". Wenn dort das passende fehlt, kann es nicht verwendet werden.

    Mit "Serverauthentifizierung" müsste es eigentlich gehen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Du hast wahrscheinlich ein CSR bekommen, daher keinen Privaten Schlüssel. Weil ohne Privaten Schlüssel, kann die Firewall das Certificate auch nicht verwenden. 

    __________________________________________________________________________________________________________________

  • Moin,

    dass bedeutet, dass ich dass Zertifikat so nicht in der XGS verwenden kann, richtig?
    Also wäre es sinnvoll, ein neues Zertifikat zu holen, oder gibt es dafür einen Workaround?

  • Was genau hast du erworben? Weil wenn du ein Zertifikat erwirbst, und es nur ein PEM ist, dann ist das nicht viel - Das PEM kann jeder von einer Website herunterladen. Das wichtige ist der Private Key. 
    Oft wird ein CSR verkauft: support.sophos.com/.../KB-000041071

    __________________________________________________________________________________________________________________

  • Dies hatte ein Dienstleister für uns gemacht. Die Datei ist eine PEM. Hm, damit haben wir dann wohl ein Problem, dass ich mit dem Dienstleister erstmal besprechen sollte.

  • Moin,
    ich mache den Post nochmal auf, da ich eine Lösung für alle mit dem gleichen Problem präsentieren kann.

    Hintergrund war, dass unser Zertifikat kein Passwort hat. Die Firewall will jedoch nur eines akzeptieren, wenn es ein Kennwort hat.

    Lösung (stichpunktartig):
    Gehe auf den Exchange, öffne mmc.exe, lass dir dort die Zertifikate anzeigen,
    Wähle das entsprechende Zertifikat aus, exportieren, dabei "Ja, mit privatem Schlüssel exportieren" wählen. Dabei kann man auf der Seite "Sicherheit" den Haken beim  Feld "Kennwort" setzen und das Kennwort selber füllen (mit einem eigenen Kennwort).
    Dann in der Firewall das Zertifikat importieren und wie beschrieben, eine Firewall Regel erstellen "Mit Webserverschutz schützen". Hier kann nun das eigene Kennwort eingetragen werden. Und schon geht es.

    Wenn man die Lösung weiß, eigentlich ganz einfach.Sunglasses

    Vielleicht hilft es ja noch jemandem.