This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Luck Using a SSL Certificate with WebAdmin/User Portal

Short Version:
————————
I am unable to successfully install a publicly signed SSL certificate and along with it’s intermediate certificate for use in WebAdmin and the User Portal. 

After installation only some browsers (Safari & Chrome on OS X) show it as trusted. Others (Firefox on OS X, Safari on iOS, Chrome on Android, etc.) show it as untrusted.

Can anyone provide guidance?


Long Version:
————————
Following the KB articles at:
Create and Import a Public Signed Certificate for UTM Web Application Security
How to import and use your own certificate for WebAdmin in Astaro Security Gateway

I created a private key and corresponding CSR and submitted it for a UCC certificate with 20 SAN’s.

Using openssl I combined the resulting certificate and my private key in to a [FONT="Courier New"]p12[/FONT] file.  I uploaded it to the UTM (Remote Access > Certificate Management > Certificate > + New certificate), along with the Intermediate certificate previously converted from a crt to pem using openssl (Remote Access > Certificate Management > Certificate > Certificate Authority).  

I then selected the cert (Managment > WebAdmin Settings HTTPS Certificate > Choose WebAdmin/User Portal Certificate).

When testing across browsers Safari and Chrome show the certificate as trusted/verified.  However, iOS, Android, Firefox, etc. do not.

When verifying via openssl with the command:

[FONT="Courier New"]openssl s_client -showcerts -connect mywebadmin.mydomain.com.au:443[/FONT]

I get the error:

[FONT="Courier New"]Verify return code: 21 (unable to verify the first certificate)[/FONT]

Only the primary domain certificate is listed; not the intermediate or the root, so there appears to be no chain of trust.  It would appear that most likely the browsers that work are assembling the chain of trust from their own keystones???

Using the exact same [FONT="Courier New"]p12[/FONT] on other servers works perfectly fine.  Browsers accept and openssl (which I am assuming does not have  a keystore) verify it as fine displaying the full chain of trust.  I have tried adding the complete trust chain (primary domain + intermediate CA + root CA)  to the certificate to no avail.  From what I can tell the intermediate CA is not being presented to clients, only the primary.  But I'm a noob when it comes to SSL.

Any suggestions on fixing?


This thread was automatically locked due to age.
  • Currently intermediate CA support isn't implemented. Only with WAF it works.   It was planned for 9.200 but I don't think it will make it into this release :-(
  • Does anyone know if this issue is on the roadmap to be fixed? I am trying it with v9.2.205 and the intermediate CA support is still missing for WebAdmin/User Portal with a publicly signed certificate.
  • It's not so much a bug fix, but more an added feature, so the earliest we'll most likely see it added is 9.3
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • When will 9.3 be available. Is there a roadmap? We need this feature very urgent.

    The use of intermediate certificates is not new and verisign/symantec for example uses them solely since 2008. There is no alternative beside not using a public certificate. Does anybody know a workaround?
  • Beta will be this fall/winter, for release during first quarter 2015.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Welcome, kgd, to the User BB!

    Frankly, I don't think this should be a concern, but I understand that Sophos is adding this for marketing reasons.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Welcome, kgd, to the User BB!

    Frankly, I don't think this should be a concern, but I understand that Sophos is adding this for marketing reasons.

    Cheers - Bob


    Hmmm. Why would this not be a concern?  It certainly is to my customers, if I understand the issue correctly then Sophos is late to the game doing it correctly. 

    In our case we have numerous deployments where the customers are being forced to start using solutions like SPX encryption for email. We've been installing new gateways and upgrading people to get into a position to use this feature; without having to subscribe to expensive iron-forge based solutions.

    In such an implementation their customers will get sent back to the Security Gateway on port 10444 for an HTTPS connection. To avoid the dreaded SSL security warnings that confuse lay-people; that will mean installing a SSL Certificate that is publicly signed and recognizable by the majority of the browsers on the planet. Failing to do that will only ensure confused customers for our customers (especially those that work with the general public like insurance agents whose target audience being 65+ seniors)....

    Buying SSL Certificates is easy; but 99% of them are now signed by an Intermediate authority. If the Security Gateway software doesn't send down the intermediate certificates and some browsers choke on it with an error or block the site; then all sort of confusion; problems and frustration will arise. Not to mention the support calls that will go with it.

    We lived through this with out LoadMaster 2000 last year; and it wasn't a fun experience. Guess I'll go through a Godaddy Cert on the box and see what happens to be sure.
  • I am using Comodo Positive SSL (cheapest one) for Webadmin on my office UTM without any problems.
    I've uploaded manually both root and intermediate Comodo certificates to the UTM certificate store.

    Works with IE, Chrome and Firefox.
  • I'm using a Godaddy wildcard cert which works.
  • Ratz, I agree if that's the way the SPX portal works in V9.3.  In that case, I hope one of the beta testers brings the issue up as a bug/feature.  I'm not ready to turn on the SPX Portal in 9.2 for any of my customers.

    When it comes to WebAdmin and User Portal access, this shouldn't be a show stopper for anything.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA