This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Errors trying to regenerate certificates (Heartbleed mitigation)

Hi all,

My home UTM is throwing an error when I try regenerate certificates and signing CA under the Remote Access->Certificate Management->Advanced

The Confd reported an error without providing any details. 


Any ideas? FWIW, I was able to reset my WebAdmin cert without any trouble.


This thread was automatically locked due to age.
  • also when i did the regen i did not get the 2 on the end.  I am assuming this is because the original certificate objects go restored into an invalid state.  I have verified by the generation date that all certificates were regenerated though...[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • That fix didn't work for me, unfortunately.

    I was okay with the restore of a 9.109 backup, then I reset the webadmin CA with SSH, then regenerated the Webadmin cert - all fine. 

    But when I try to regenerate the remote access/site-to-site signing CA it fails with the error above (about the $enddate variable).
  • I fixed all my issues by doing a backup of the new firmware without the site specific data (certs, etc) and then restoring it.  Then just walking through the initial setup really quickly and everything worked great and I didn't have to start from scratch.  I have a lot of firewall/nat rules so that would have been a pain.  I really suggest doing it this way since it will re-create all the certs for you.
  • I fixed all my issues by doing a backup of the new firmware without the site specific data (certs, etc) and then restoring it.  Then just walking through the initial setup really quickly and everything worked great and I didn't have to start from scratch.  I have a lot of firewall/nat rules so that would have been a pain.  I really suggest doing it this way since it will re-create all the certs for you.


    Yeah, looks like that's what I'll have to do. Thanks for the tip!
  • I fixed all my issues by doing a backup of the new firmware without the site specific data (certs, etc) and then restoring it. Then just walking through the initial setup really quickly and everything worked great and I didn't have to start from scratch. I have a lot of firewall/nat rules so that would have been a pain. I really suggest doing it this way since it will re-create all the certs for you.

    Bravo, slickone27!  Great news!  I hadn't heard of anyone trying this before.  I've linked to your post above in The Zeroeth Rule in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Bravo, slickone27!  Great news!  I hadn't heard of anyone trying this before.  I've linked to your post above in The Zeroeth Rule in Rulz.

    Cheers - Bob


    Thanks! I figured I would give it a try and see if I could avoid re-creating all the NAT / FW rules I have and thankfully it worked.

    ...And on a side note if anyone is looking for good hardware to run this on the Shuttle DS61 mini system with an i3 and 4gb of RAM doesn't even break a sweat running with EVERYTHING enabled (IPS etc) and I get full speed with my FiOS 150/65 service. And it is small enough to fit almost anywhere. I have mine in my media box which is inside a closet...
  • Just remembered I forgot to reply here - this fix worked great, thanks slikone27.  

    I think this is actually an easier fix than the Sophos KB - all the certificates are reset automatically and you don't need to worry about shell or manual resets anywhere.  I just wish I'd known this first! [:)]
  • Just remembered I forgot to reply here - this fix worked great, thanks slikone27.  

    I think this is actually an easier fix than the Sophos KB - all the certificates are reset automatically and you don't need to worry about shell or manual resets anywhere.  I just wish I'd known this first! [[:)]]


    Not a problem! Glad I could help.  I got lucky and just thought I would give it a shot before redoing everything [[:)]]
  • @ slikone27

    I found this thread because of the Rulz thead,
    So
    I'm getting ready to swap hardware,(faster, more ETHs more RAM , more HD space ...)
    so according to your experience , I should :

    -create a BKP excluding site specific data,
    then what, ?
    -Do I install then restore
    or can I get to the restore thing right during the install
    or ????

    Thanks
  • When you restore a configuration backup, you are logged out of WebAdmin.  When the backup doesn't contain site-specific data, the next connection to WebAdmin presents you with the first screen of the Installation Wizard where you give the UTM a hostname that must be an FQDN resolvable in public DNS to the IP of the External interface.

    After the UTM comes up, you must re-assign the Address(es) on the interfaces, taking care to change the Internal interface last if necessary.  You also may need to enable any site-to-site VPNs.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA