This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Luck Using a SSL Certificate with WebAdmin/User Portal

Short Version:
————————
I am unable to successfully install a publicly signed SSL certificate and along with it’s intermediate certificate for use in WebAdmin and the User Portal. 

After installation only some browsers (Safari & Chrome on OS X) show it as trusted. Others (Firefox on OS X, Safari on iOS, Chrome on Android, etc.) show it as untrusted.

Can anyone provide guidance?


Long Version:
————————
Following the KB articles at:
Create and Import a Public Signed Certificate for UTM Web Application Security
How to import and use your own certificate for WebAdmin in Astaro Security Gateway

I created a private key and corresponding CSR and submitted it for a UCC certificate with 20 SAN’s.

Using openssl I combined the resulting certificate and my private key in to a [FONT="Courier New"]p12[/FONT] file.  I uploaded it to the UTM (Remote Access > Certificate Management > Certificate > + New certificate), along with the Intermediate certificate previously converted from a crt to pem using openssl (Remote Access > Certificate Management > Certificate > Certificate Authority).  

I then selected the cert (Managment > WebAdmin Settings HTTPS Certificate > Choose WebAdmin/User Portal Certificate).

When testing across browsers Safari and Chrome show the certificate as trusted/verified.  However, iOS, Android, Firefox, etc. do not.

When verifying via openssl with the command:

[FONT="Courier New"]openssl s_client -showcerts -connect mywebadmin.mydomain.com.au:443[/FONT]

I get the error:

[FONT="Courier New"]Verify return code: 21 (unable to verify the first certificate)[/FONT]

Only the primary domain certificate is listed; not the intermediate or the root, so there appears to be no chain of trust.  It would appear that most likely the browsers that work are assembling the chain of trust from their own keystones???

Using the exact same [FONT="Courier New"]p12[/FONT] on other servers works perfectly fine.  Browsers accept and openssl (which I am assuming does not have  a keystore) verify it as fine displaying the full chain of trust.  I have tried adding the complete trust chain (primary domain + intermediate CA + root CA)  to the certificate to no avail.  From what I can tell the intermediate CA is not being presented to clients, only the primary.  But I'm a noob when it comes to SSL.

Any suggestions on fixing?


This thread was automatically locked due to age.
  • vilic, are you certain that you haven't done something to make your browser trust the cert.  Maybe uploaded the Comodo CA and intermediate CA?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bob....I've uploaded both root and intermediate CA only to the UTM, because the same certificate is also used for Exchange WAF publishing (look at first screnshoot in my previous post).


    Btw, while setting up a brand new client's UTM with 9.209 last week I've noticed that UTM now automatically uploads root and intermediate CA with SSL certificate into the store, that was not case before.
  • I'm using a Godaddy wildcard cert which works.


    I would love to know how you got Godaddy to work because as of right now it works in everything but Safari on iOS and OSX.  I have all of the intermediaries installed but its not sending the Go Daddy Secure Certificate Authority - G2 part of the chain which is the sha-1 crossover.
  • UTM now automatically uploads root and intermediate CA with SSL certificate into the store

    I don't understand which certificates and which store...

    When you ordered the cert, did you say that it was generated with Apache-ModSSL or Apache-SSL?

    What OpenSSL commands did you use to change the package from Comodo into a PKCS12 that you uploaded in WebAdmin?  Did you upload in 'Site-to-Site VPN >> Certificate Management'?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • I don't understand which certificates and which store...


    "AddTrustExternalCARoot" and "PositiveSSL CA 2" into local UTM certificate store (Certificate Management).

    When you ordered the cert, did you say that it was generated with Apache-ModSSL or Apache-SSL?


    Being a seasoned MCSE veteran I don't use openssl tool but IIS SSL request procedure from my virtual Windows 2008 R2 Server for that purposes. 


    What OpenSSL commands did you use to change the package from Comodo into a PKCS12 that you uploaded in WebAdmin? 
     

    Export from Windows in PFX format and import it to UTM....as said previously, no need for openssl.

    Did you upload in 'Site-to-Site VPN >> Certificate Management'?


    Doesn't matter....in Site-to-Site VPN, Remote Acess or Webserver Protection WebAdmin sections, it is the same store.
  • I thought you might have done something on the HTTPS tab in Web Protection.  You uploaded the CAs into the Certificate section, but they were properly stored in the CA section - correct?  You didn't load all three PEMs into a single PKCS12 and upload that - correct?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • You didn't load all three PEMs into a single PKCS12 and upload that - correct?


    Yes I did, but not manually...because selecting "Include all certificates in certification path..." (scrshot) when exporting a certificate from Windows to pfx file should do that.
  • I thought you might have done something on the HTTPS tab in Web Protection. 


    No, nothing there...this cert was aimed only for Webadmin and WAF features, not for Web Protection SSL scanning.
  •   I would love to know how you got Godaddy to work because as of right now it works in everything but Safari on iOS and OSX.  I have all of the intermediaries installed but its not sending the Go Daddy Secure Certificate Authority - G2 part of the chain which is the sha-1 crossover.
      

    For IOS I had to manually install the godaddy int crt which isn't ideal.

    This may be some help: https://qualys.jive-mobile.com/#jive-discussion?content=%2Fapi%2Fcore%2Fv2%2Fdiscussions%2F12331
  • OK.  Apparently, everything I did to create and upload the PKCS12 was correct and worked.

    I never claimed to be a Firefox guru...  If you let Firefox create an exception for an incorrect certificate at a site, it no longer checks the certificate.  When I saw that Firefox wasn't showing a valid cert, I just assumed that I had it wrong.

    After wasting over 12 hours of time that I only can bill myself for [:O], Sophos Support went to my client's User Portal and immediately sent an email congratulating me on finding the problem.  I then tried with IE and my iPhone and saw that all was working as it should.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA