Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3832 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Key Regeneration

CClasen
I've got a client who's RED SSL key is only 1024 bits long.  They are being audited for PCI compliance and the scans are finding this and causing them to fail.  I opened a ticket with Sophos who told me that there is no way to regenerate the key.  This sounds completely wrong to me.  Can someone from higher up than the (worsening) tier 1 support confirm this for me?

If there really is no way to regenerate the keys, how on earth are people supposed to run these devices and remain PCI compliant?  Is bad enough you can't install 3rd party certs on the VPN or RED services...


This thread was automatically locked due to age.
  • 0
    Are you talking about the "RED Certificate for utm.domain.com" or the "red_client ..." certificate?  I just activated RED on the lab UTM, and both are 2048-bit certs.

    It is possible to install 3rd-party certs, but it's done at the command line using openssl and cc.  It shouldn't be necessary though.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    It's for the RED client.  If I run  

    openssl s_client -connect :3400


    I can see the server public key is only 1024 bits long.

    I know the point about puclic certs on services other than WebAdmin is kindof tangential, but it would actually solve my issue as we already have a valid cert on WebAdmin.  If I could also apply it to the RED interface and OpenVPN server, I'd be happy.  This feature request (RED: Support using own CA in RED to generate 'valid' certificates) led me to beleive it wasn't possible.  Also, support told me that point blank a couple days ago.
  • 0
    If the client is on 9.3, I believe you could delete the RED(s) (be sure to note the 'Unlock code' for each deleted RED!), disable RED Management on the 'Global Settings' tab, re-enable it, add the RED(s) again and wind up with a 2048-bit key.  Did that work?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Finally got the go-ahead to do this today -it did indeed work.  Thanks, Bob!
Unfiltered HTML