This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Intermediate CA not sent by server

Hello,

I'm running ASG 8.103, and bought a SSL certificate.
After some time spent on finding how to put the certificate and its intermediate CA's into a pkcs#12 bundle, I thought it would just work after importing the bundle in webadmin.
You guessed it, I would not be posting here if it was the case [:)].
In the webadmin, I can see the certificate and all its CA's imported.
But the server does not send those CA's to the web browsers.
=> error: certificate not trusted, unkown CA, blah blah...

I found a way to make it work, but it requires modifying the httpd.conf, by adding the directive SSLCACertificateFile to give the location of a PEM file containing my certificate provider's intermediate CA's.

And it works perfect now! (I even commented out the directive and retested to be sure this was the fix [;)])

So, why is this kind of modification mandatory to have this kind of setup working? Is it a problem in the Astaro system, or in my certificate? 
Does anyone else had the same problem? I'm a home user, so I have no access to support.

LeGrayven.


This thread was automatically locked due to age.
  • Hi.

    We have access to the Astaro Support end they told us that intermediate CA can't imported. Before the WAP was implemented, we alread had godaddy certs running on IIS behind the ASG. This CA restriction made the WAP useless in our environments.

    Can you tell us some details regarding the changes you did?

    thanks in advance.
    rgds

    Luis
  • Hello Luis,

    I think you have a different problem:
    - my problem was with the user portal and the webadmin site, where there is no SSLCACertificateFile directive coded in the config
    - I tried to create a virtual website using my certificate, and it works. So apparently once you have the certificate imported with its CAs, it does a nice config in the reverse proxy and no directive is missing, my CAs are includes and it is all well.

    Did you receive a documented reason? "CA can't be imported" seems a bit short.

    Regards,

    LeGrayven.
  • I just updated to 8.201 and tried the following:

    Step 1

    Exported my server certificate, which requires an intermediate chain cert, as pkcs12.  The file did NOT contain the intermediate cert.
    Imported it into Astaro with no issues.
    Told the SMTP Proxy to use the certificate.
    The server would not verify (intermediate cert not sent by server, naturally).

    Step 2

    Imported the CA intermediate certificate into the Astaro's certificate store.
    Removed the certificate from the SMTP proxy.
    Added it again.
    Certificate did not verify (Intermediate cert not sent by server.  I wanted to see if it would be picked up somehow.)

    Step 3

    Exported the original pkcs12 file to PEM.
    Pasted the Intermediate CA Cert PEM to the top of the file.
    Converted back to pkcs12.
    Deleted first certificate from Astaro.
    Imported new PKCS12 containing intermediate cert, server cert, and key.
    Added to SMTP Proxy.
    The SMTP proxy server now sends the proper chain and the certificate validates.

    This, unfortunately, did not seem to hold true when I tried to use the same certificate for WebAdmin on 4444 or the UserPortal on 443.

    Upon further examination, the exim configuration contains the following directives:

    tls_certificate = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.cert}}
    tls_privatekey = ${if eq{TLS_NAME}{} {}{INCLUDE/TLS_NAME.key}}

    The .cert file specified contains both the server cert and the intermediate cert

    The webadmin apache vhost contains the following directives:

    SSLCertificateFile /etc/httpd/WebAdminCert.pem
    SSLCertificateKeyFile /etc/httpd/WebAdminKey.pem

    That certificate pem contains only the server cert, not the intermediate cert.

    The portal vhost references the same files.

    I am confident that adding either a SSLCertificateChainFile directive OR adding the intermediate cert to WebAdminCert.pem would correct this, but I am unwilling to make changes that would just get clobbered and break things on update or reconfig.
  • Yes, that's the point. The step 3 procedure also works for web applications (which is apache based).
    That's clearly a missing directive in the apache config of the webadmin / user portal.
    But how to file this as a bug?
  • Thanks, guys.  I submitted a bug report based on your work and have linked back to this thread:
    Subject: CaseID 00165021  --  Missing directive in httpd.conf -- Priority: High

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 8 years later, the bug is still not fixed... Sad story...

     

    For all who find this thread. Maybe it helps. Please vote for this feature requeest:

    ideas.sophos.com/.../17618233-deliver-complete-certificate-chain-for-user-portal