This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Sync CA sign fail bei neuen Benutzern

Hallo,

Wir haben auf der SG230 SSL-VPN im Einsatz, neue Benutzer werden über AD Gruppen synchronisiert, das hat bis jetzt gut funktioniert.
Beim synchronisieren neuer Remote Benutzer vom AD erhalte ich seit kurzem eine Fehlermeldung im prefetch:

2022:08:30-18:29:09 utm1 user_prefetch[2720]:  #  46  Creating user <username>
2022:08:30-18:29:10 utm1 user_prefetch[2720]: Failed to set object
2022:08:30-18:29:10 utm1 user_prefetch[2720]: >=========================================================================
2022:08:30-18:29:10 utm1 user_prefetch[2720]: $VAR1 = [
2022:08:30-18:29:10 utm1 user_prefetch[2720]:           'CA_CERT_SIGN_FAILURE',
2022:08:30-18:29:10 utm1 user_prefetch[2720]:           {
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'attrs' => [
2022:08:30-18:29:10 utm1 user_prefetch[2720]:                          'reason'
2022:08:30-18:29:10 utm1 user_prefetch[2720]:                        ],
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'reason' => '256',
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'name' => 'Cannot create certificate: signing certificate request failed (256).',
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'msgtype' => 'CA_CERT_SIGN_FAILURE',
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'never_hide' => 0,
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'format' => 'Cannot create certificate: signing certificate request failed (%s).',
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'fatal' => 1,
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'type' => 'host_key_cert',
2022:08:30-18:29:10 utm1 user_prefetch[2720]:             'class' => 'ca'
2022:08:30-18:29:10 utm1 user_prefetch[2720]:           }
2022:08:30-18:29:10 utm1 user_prefetch[2720]:         ];
2022:08:30-18:29:10 utm1 user_prefetch[2720]: <=========================================================================

Der Benutzer wird gefunden aber nie erstellt.
Ich hab zuerst geglaubt durch ein Umbenennen dieses einzelnen Benutzers am AD entstand das Problem,
die Logs zeigen das Problem aber schon vor der Umbenennung an.
Außerdem haben neu erstellte und auch lokal an der Firewall erstellte Benutzer dasselbe Prolem (Error 256).

Ich kann auch keine Zertifikate manuell erstellen, Fehlermeldung ist dabei dieselbe.
Im CA Reiter sehe ich, dass das Zertifikat bis 2038 gültig ist.

Ich möchte natürlich, dass die Zertifikate wieder erstellt werden können, sehe aber nicht wo der Fehler liegt, nachdem ich auch manuell keine generieren kann.
Liegt das Problem vielleicht sogar an anderer Stelle oder hat das Umbennen was zerstört?



This thread was automatically locked due to age.
Parents
  • Hallo,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Frowning2)

    This is the first time anyone has reported this problem here.   You will want to get a case opened with Sophos Support.  We can work on this here while you wait for them to respond.

    Are there any lines in the Fallback log or Configuration Daemon log related to this problem?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Vielen Dank,

    im Fallback Log gibt es keine ähnliche Meldung zu Zertifikaten. Im Configuration Daemon Log gibt es eine große Menge, das erste Mal tritt die Fehlermeldung im confd log um 0 Uhr auf.Tage bevor ich auf das Problem gestoßen bin.

    2022:08:27-00:00:06 utm1 confd[29846]: W Message::err_set:1107() => id="3100" severity="warn" sys="System" sub="confd" 
    name="CA_CERT_SIGN_FAILURE (Cannot create certificate: signing certificate request failed (256).)" class="ca" type="host_key_cert"
    user="system" srcip="127.0.0.1" facility="system" client="directory_user_prefetch.plx" call="set_object" reason="256"

    Fehler 256 ist hier wieder. Die vielen weiteren Error-Lines im Log sehen auch so aus. Ich habe versucht habe auf verschiedene Art User/Zertifikate zu erstellen. Einige Log-Einträge müssten also durch das Troubleshooting entstanden sein.

    MfG, Mathias

Reply
  • Vielen Dank,

    im Fallback Log gibt es keine ähnliche Meldung zu Zertifikaten. Im Configuration Daemon Log gibt es eine große Menge, das erste Mal tritt die Fehlermeldung im confd log um 0 Uhr auf.Tage bevor ich auf das Problem gestoßen bin.

    2022:08:27-00:00:06 utm1 confd[29846]: W Message::err_set:1107() => id="3100" severity="warn" sys="System" sub="confd" 
    name="CA_CERT_SIGN_FAILURE (Cannot create certificate: signing certificate request failed (256).)" class="ca" type="host_key_cert"
    user="system" srcip="127.0.0.1" facility="system" client="directory_user_prefetch.plx" call="set_object" reason="256"

    Fehler 256 ist hier wieder. Die vielen weiteren Error-Lines im Log sehen auch so aus. Ich habe versucht habe auf verschiedene Art User/Zertifikate zu erstellen. Einige Log-Einträge müssten also durch das Troubleshooting entstanden sein.

    MfG, Mathias

Children
No Data