This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

No Luck Using a SSL Certificate with WebAdmin/User Portal

Short Version:
————————
I am unable to successfully install a publicly signed SSL certificate and along with it’s intermediate certificate for use in WebAdmin and the User Portal. 

After installation only some browsers (Safari & Chrome on OS X) show it as trusted. Others (Firefox on OS X, Safari on iOS, Chrome on Android, etc.) show it as untrusted.

Can anyone provide guidance?


Long Version:
————————
Following the KB articles at:
Create and Import a Public Signed Certificate for UTM Web Application Security
How to import and use your own certificate for WebAdmin in Astaro Security Gateway

I created a private key and corresponding CSR and submitted it for a UCC certificate with 20 SAN’s.

Using openssl I combined the resulting certificate and my private key in to a [FONT="Courier New"]p12[/FONT] file.  I uploaded it to the UTM (Remote Access > Certificate Management > Certificate > + New certificate), along with the Intermediate certificate previously converted from a crt to pem using openssl (Remote Access > Certificate Management > Certificate > Certificate Authority).  

I then selected the cert (Managment > WebAdmin Settings HTTPS Certificate > Choose WebAdmin/User Portal Certificate).

When testing across browsers Safari and Chrome show the certificate as trusted/verified.  However, iOS, Android, Firefox, etc. do not.

When verifying via openssl with the command:

[FONT="Courier New"]openssl s_client -showcerts -connect mywebadmin.mydomain.com.au:443[/FONT]

I get the error:

[FONT="Courier New"]Verify return code: 21 (unable to verify the first certificate)[/FONT]

Only the primary domain certificate is listed; not the intermediate or the root, so there appears to be no chain of trust.  It would appear that most likely the browsers that work are assembling the chain of trust from their own keystones???

Using the exact same [FONT="Courier New"]p12[/FONT] on other servers works perfectly fine.  Browsers accept and openssl (which I am assuming does not have  a keystore) verify it as fine displaying the full chain of trust.  I have tried adding the complete trust chain (primary domain + intermediate CA + root CA)  to the certificate to no avail.  From what I can tell the intermediate CA is not being presented to clients, only the primary.  But I'm a noob when it comes to SSL.

Any suggestions on fixing?


This thread was automatically locked due to age.
  • Maybe this helps someone out. I'm using 9.304-9

    We added our new externaly signed certificate and it was not being trusted by mobile devices (all browsers in a PC did fine). The cert we imported had included the intermediate CAs.

    This was happening only in webadmin and userportal, in the rest (hotspot, WAF...) even mobile devices were trusting it. I was getting mad because I remember the certificate we had before (signed by the same CAs) was working well even in webadmin/userportal, so probably was missing something.

    So, a few days after importing the cert, I tried adding the individual CA's PEM files in Webserver Protection->Certificate Management->Certificate Authority. This didn't work at first, but suddenly, about 30 minutes after doing this, the mobile devices started to trust it.

    I don´t understand why this happened and I'm probably skipping something here but maybe this will point someone in the right direction.
  • Nevermind. For some reason now it says it's not trusted again. I'm giving up on this and hope that it's just that the userportal and webadmin are not supplied with the intermediate CAs. And hopefuly they will fix it soon.
  • Guillerone, when you did the openssl commands, did you get both the Root and Intermediate CAs into the bundle?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    I didn't use open ssl commands for anything. Ordered the cert online and installed it through webadmin.

    What I dound out now is funny. Without doing anything, sometimes the certificate works and sometimes it doesn't. Again, only happens with Webadmin and user portal, hotspots and WAF work perfectly every time.

    This is not only happening with Sophos UTM, but also with an antispam appliance we have. It works intermitently on mobile devices. Doing a bit of research, it seems it may be that the server (UTM and our antispam) is not giving the certificates in the right order, therefore not providing the chain as it should.
    Someone said it might be due to old or expired certificates still installed in the server, I will have a look at that.

    - In the following link you can check if the chain is properly provied by the server https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
    - Here you can see how your site looks (and ssl errors) in mani different browsers
    Check Browser Compatibility, Cross Platform Browser Test - Browsershots
  • We are about to implement SPX to one of a customer and hitting exactly the same Issue. thank god i found that tread after 6 Hours of Troublshooting :=)

    So is there a good Workaround? i mean how can we use SPX Portal if it is not Trusted by Firefox, Safari and Mobile Browsers? How should people trust our encrypted mails? 

    i just don´t get how Sophos can fail here... didn´t they test functionality of a SPX Portal?

    i tried it with Comodo, Start SSL and Geo Trust always the same f..ng Browser Failure telling that this Certifikate is not valid, and if i check it with an SSL Checker it say´s that there is no intermedia CA...

    i tried it with a WAF and woulla everything works Fine with every possible Browser... 

    it´s so frustraiting...

    so anyway. Do anyone now how to deal with it?

    Thank you in advance


    Hi Bob,

    I didn't use open ssl commands for anything. Ordered the cert online and installed it through webadmin.

    What I dound out now is funny. Without doing anything, sometimes the certificate works and sometimes it doesn't. Again, only happens with Webadmin and user portal, hotspots and WAF work perfectly every time.

    This is not only happening with Sophos UTM, but also with an antispam appliance we have. It works intermitently on mobile devices. Doing a bit of research, it seems it may be that the server (UTM and our antispam) is not giving the certificates in the right order, therefore not providing the chain as it should.
    Someone said it might be due to old or expired certificates still installed in the server, I will have a look at that.

    - In the following link you can check if the chain is properly provied by the server https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
    - Here you can see how your site looks (and ssl errors) in mani different browsers
    Check Browser Compatibility, Cross Platform Browser Test - Browsershots
  • @Holy:  Have you opened a support case?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • Hello,

    yes and received an answer 30 minutes ago.

    this is a known BUG and it should have been fixed in 9.310 i gonna install 9.310 and test it today or tommorrow.



    @Holy:  Have you opened a support case?
  • So installed 9.310 SR Release, no change. The same problem...................

    it´s poor, it´s realy, realy poor

    Hello,

    yes and received an answer 30 minutes ago.

    this is a known BUG and it should have been fixed in 9.310 i gonna install 9.310 and test it today or tommorrow.
  • So let me introduce you an dirty Workaround :=)

    Under SPX Portal Setting choose:

    listen to: internal interface
    port: 443

    Go to Webserver Protection:

    Create a Real Web Server: Localhost
    your Internal Sophos Interface: for example 192.168.1.1
    port: 443

    Create a Virtual Server: SPX Portal
    listen to: your WAN interface
    HTTPS
    port 443
    Choose you Certifikate
    Real Webserve: Choose your created Webserver "Localhost"
    Redirect Host Header

    Ta Da it works [:)]

    i am tottaly unhappy that i spend so much time finding this workaround and this is definitely not like this actually must work!

    Shame on you Sophos, this Bug is known since 2012 and you still unable to fix it.

    Realy i don´t understand... How do other Customer deal with SPX Portal? How do they solve this Problem?... 

    P.S. this workaround only work for SPX Portal, it doesn´t work for User Portal.

    don´t ask me why, i have no f..ing idea.



    So installed 9.310 SR Release, no change. The same problem...................

    it´s poor, it´s realy, realy poor
  • I've been having the same issue, I've tried importing the p12 file every which way and am having the same issue. The intermediate CA certificate is not presented which results in some clients marking the user portal as untrusted.

    This is an issue for the html5 VPN portal as some remote networks do not allow clients to browse to sites that are not trusted. I'm not sure what other customers are doing as it's nearly impossible to obtain an unchained signed certificate these days. 

    One possible workaround is if the clients visit a website that does correctly present the intermediate certificate, it is often cached temporarily, which will result in the trust chain being temporarily complete. However this doesn't work if the remote firewall does not allow unsafe ssl websites.