This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN funktioniert nicht mehr seit Public-Zertifikatserneuerung

nd over 3 years ago

Hallo zusammen,

(Mein Setup: UTM Home (aktuellste firmware) auf einer SG330 Rev1 bei mir privat im Einsatz.)

ich habe seit längerem ein "wildcard" Zertifikat im Einsatz, welches auf eine Domain ausgestellt wurde, die ich über 1und1 gemietet habe. Das Zertifikat habe ich auch direkt über 1und1 ausgestellt. Hat bisher auch alles bestens funktioniert - an sich auch jetzt.

Weiterhin nutze ich ein SSL VPN, das auch bestens funktionierte....bisher.

Nun lief dieses Zertifikat Ende August ab und ich habe ein neues erstellt und entsprechend wieder eingebunden. Funktioniert soweit auch. Es wird eigentlich nur genutzt, dass ich hier intern für mich keine Zertifikate ausrollen muss und keine Fehlermeldungen im Browser erhalte.

Jetzt hätte ich mal wieder das VPN nutzen wollen, wollte mich einwählen und bekomme - egal ob vom Smartphone oder Notebook - bei der Einwahl eine Fehlermeldung, noch bevor die Benutzerauthentifizierung stattfindet:

Tue Sep 28 22:54:46 2021 VERIFY ERROR: depth=0, error=unable to get local issuer certificate: CN=CENSORED, emailAddress=CENSORED
Tue Sep 28 22:54:46 2021 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Tue Sep 28 22:54:46 2021 TLS Error: TLS object -> incoming plaintext read error
Tue Sep 28 22:54:46 2021 TLS Error: TLS handshake failed
Tue Sep 28 22:54:46 2021 Fatal TLS error (check_tls_errors_co), restarting

Ein bisschen Googlen hat mich auf die Fährte der Zertifikatserneuerungen gebracht, jedoch sind unter "certificate management" keine abgelaufenen zu finden, alle wurden scheinbar erneuert und sind mit dem wildcard Zertifikat übereinstimmend gültig.

Ich habe an der Konfiguration soweit auch nichts verändert, weder im hostname, den ssl vpn settings, Benutzer (dem lieg das x509 des jeweiligen Benutzers parat) oder Zertifikate (abgesehen von dem Austausch).

Irgendwo aber dort in Zusammenhang muss noch ein Fehler sein, nur finde ich diesen nicht

Das einzige was mir rückblickend dann doch etwas komisch vorkam, dass nach Austausch des Zertifikates, bzw Erneuerung, dann noch weiterhin Mails kamen, dass bald ein Zertifkat auslaufen würde. Hierüber aber habe ich mir erstmal keine Gedanken gemacht. Als das Ende des alten Zertifikates dann erreicht war, kamen auch keine solche Mails mehr.

Hat mir hier vielleicht jemand noch eine Idee? Stehe hier echt auf dem Schlauch - insbesondere da nichts geändert wurde und es zuvor ja auch funkioniert hat.

Vielen Dank und Gruss,

Andy.

This thread was automatically locked due to age.

0 RemoHehlert over 3 years ago

Salue Andy,

wenn Du im VPN ein neues Zert einbindest, hast Du dann auch den VPN Client aktualisiert?

VG r.
Cancel
Vote Up 0 Vote Down

Cancel
0 nd over 3 years ago in reply to RemoHehlert

Hallo Remo,

ja, um das zu testen, habe ich natürlich an meinem Notebook, worüber ich das VPN nutze, natürlich auch das komplette Paket mit Openvpn Client und Konfiguration erneut heruntergeladen und aktualisiert.

Zum weiteren Test, habe ich auch auf einer VM das ganze wiederholt.

Es bleibt der selbe Fehler bestehen.

LG Andy.
Cancel
Vote Up 0 Vote Down

Cancel
0 RemoHehlert over 3 years ago in reply to nd

Lösche doch bitte mal das Benutzer Zertifikat damit dieses neu erstellt wird bei Login.

Hatte erst die Woche so etwas in einem SSl-VPN Forum gelesen.

Oder einen neuen Benutzer erstellen wenn man das alte nicht löschen möchte.
Cancel
Vote Up 0 Vote Down

Cancel
0 nd over 3 years ago in reply to RemoHehlert

Bin jetzt erst mal etwas beruhigt, denn den selben Gedanken hatte ich auch und habe deswegen erst mal einen neuen Benutzer erstellt - aber auch dort funktioniert es nicht.
Cancel
Vote Up 0 Vote Down

Cancel
0 nd over 3 years ago in reply to RemoHehlert

und wie bereits oben geschrieben, der Fehler kommt schon, bevor er das verwendete Passwort oder den Benutzer prüft. Sprich ich kann irgendeinen fiktiven Buchstabensalat bei Benutzer / Kennwort verwenden und er kommt gar nicht bis zur Prüfung, sondern meckert vorher schon obige Fehlermeldung.
Cancel
Vote Up 0 Vote Down

Cancel
0 PhilippRusch over 3 years ago

Hallo nd,

schau mal hier, vielleicht hilft das: https://community.sophos.com/utm-firewall/f/german-forum/125628/zertifikat-tausch

Mit freundlichem Gruß, best regards from Germany,

Philipp Rusch

New Vision GmbH, Germany
Sophos Silver-Partner

If a post solves your question please use the 'Verify Answer' button.
Cancel
Vote Up 0 Vote Down

Cancel
0 BAlfson over 3 years ago

Hallo Andy,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

"unable to get local issuer certificate"

If Philipp's post doesn't give you a solution, please show us the SSL VPN log from the UTM that corresponds to the client log lines in your starting post.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Sophos UTM Community Moderator
Sophos Certified Architect - UTM
Sophos Certified Engineer - XG
Gold Solution Partner since 2005

MediaSoft, Inc. USA
Cancel
Vote Up 0 Vote Down

Cancel