HTTPS-Zugriff aus dem Internet auf eine Ressource hinter einem IPSec-Tunnel

Das ist eine super Aufgabe für die Web Application Firewall

• lege einen (virtuellen) Webserver auf der Sophos an
• lege den Server im Rechenzentrum als echten Webserver an
• importiere das Zertifikat auf der Sophos und weise es dem virtuellen Webserver zu
• bei Bedarf konfiguriere noch die Sicherheit (es gibt fertige Profile z.B. für OWA)
• publiziere die IP eurer Sophos unter dem Hostnamen

Full NAT geht sicherlich auch, ist aber wesentlich umständlicher

Hallo,

Herzlich willkommen hier in der Community !

(Sorry, my German-speaking brain isn't creating thoughts at the moment.

I agree that WAF is the most elegant solution.  Full NAT is the other solution similar to Accessing Internal or DMZ Webserver from Internal Network.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo zusammen,

erstmal ganz herzlichen Dank für den willkommenen Tipp, die Web Application Firewall zu verwenden. Ein versuchsweise konfigurierter virtueller Webserver mit HTTP hat auch auf Anhieb funktioniert.

Leider funktioniert ein virtueller Webserver mit SSL noch nicht und ich weiß nicht mehr weiter. Zur Erinnerung: der reale Webserver (SAP) steht in einem externen Rechenzentrum und nur interne Clients in unserem LAN können diesen kontaktieren. Deshalb ja auch die WAF.

Nun zu den Umständen. Das Zertifikat wurde von unserem SAP-Dienstleister generiert und auf dem SAP-System installiert. Für die SAP-Experten: dieses Zertifikat habe ich in der Transaktion STRUST im Base64-Format mit der Dateiendung .pem exportiert und auf der Sophos importiert. Auf der Sophos ist das das erste und einzige externe Zertifikat das ich jemals dort importiert habe. Mir fallen zwei Sachen auf, für die ich keine Erklärung habe:

1. ich habe das Zertifikat unter dem Namen SAPOET importiert und unter diesem Namen ist es auch auf der Zertifikatsliste aufgeführt

2. beim virtuellen Webserver kann ich das Zertifikat nicht auswählen. In dem Pulldown-Menü bekomme ich die X509 User Cert aller definierten Remote-User präsentiert, aber nicht das unter dem Namen SAPOET importierte Zertifikat.

Was läuft hier noch falsch?

Danke im Voraus

Hallo,

wenn das Icon von deinem Zertifikat blau ist, dann hast du keinen private key für das Zertifikat, dann kann die Sohos das Zertifikat nicht "aufmachen". Das Icon wird nur dann grün, wenn du beim Import eine PKCS#12- Datei verwendest und ein Passwort dazu hast. Gegebenenfalls musst du es also noch einmal im richtigen Format exportieren.

Danke Philipp Rusch,

ich kann auf der Sophos im PKCS#12-Format oder auch im PEM-Format importieren. Im PEM-Format liegt mir das Zertifikat vor und so habe ich es auch importiert. Warum kann ich das Zertifikat nicht verwenden? Die Sophos zeigt mir in der Zertifikatsliste doch auch an, für wen das Zertifikat ausgestellt wurde.

Ja, das ist so, weil das reine PEM-Zertifikat keinen "private key" enthält. Das PKCS#12-Format ein Bundle aus Zertifikat und private Key, deshalb wird es normalerweise mit einem Passwort geschützt. Nur mit dem "private Key" kann die Sophos das Ganze auch vernünftig verwenden. Das äußere Kennzeichen ist das grüne Icon vor dem Zertifikat. Habe ich auch erst lernen müssen.

Aha, es kommt etwas Licht in das Dunkel. Dann werde ich mal den SAP-Partner ermuntern mir alle erforderlichen Bestandteile im PLCS#12-Format zukommen zu lassen.

Aber wozu kann ich dann auf der Sophos das PEM-Format importieren? Das ist doch dann sinnlos, wenn die Sophos diese Zertifikate sowieso nicht verwenden kann?

Ich geb dir mal ein Beispiel von meiner Firewall:

Ja, so sehen die von der Sophos selbst erzeugten Zertifikate bei mir auch aus. Da hängt auch die Certificate Chain mit dran. Diese Zertifikate könnte ich auch alle auswählen in dem virtuellen Webserver verwenden.

Dise ist aber ein offizielles von GeoTrust, das ich im PKCS#12 mit Passwort importiert habe.