This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Windows Update fails due to Cert. time error (ASG HTTPS Proxy problem?)

I have been tearing my hair out recently (since 7.4). My clients all fail when manually directed at Windows or Microsoft update. The error that comes back on all of them (I've looked at all of the XP and Win2k ones anyway) is "Your computer's date and time appear to be out of sync with an update certificate."

My client dates and times are definitely in-sync with the rest of the world. I operate an SNTP server here, which syncs with the our national NTP pool. All clients are set to "GMT" time zone with Summertime switched on.

Yet.... Every time I point a machine at windows update, I get Error Number 0x80072F8F.

I have my Astaro set-up as an HTTP/HTTPS Proxy and have installed the Astaro Proxy CA certificate as a Trusted Root certification Authority in all client machines. The date and time on the ASG are also set to synchronise from the National NTP Pool, so that time is also accurate.

So Why-oh-Why is the Bl**dy Microsoft update request failing?

Has anyone else seen this or similar problems and has anyone solved it/them?

Any suggestions would be greatly appreciated!

JB


This thread was automatically locked due to age.
  • I tried that (added windowsupdate.microsoft.com to the Web Security->HTTP/S->Advanced->Transparent mode skiplist) and I still get the cert time error.
  • Version of Astaro?  HTTP Proxy in which mode?  HTTPS scanning enabled?  Astaro Cert also loaded via MMC?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Just tested and confirmed the same here,
    Bypass proxy ( uncheck proxy in IE) = everything OK !

    Using proxy in IE, with windowsupdate, microsoft.com, etc configured in Astaro as "exceptions".. = does NOT work. Time Error.

    But,, Intresting note;
    We just setup a bunch of new machines for a customers and believe to have found one strange thing:
    Initally a clean machine runs windowsupdate and we're actually able to update from there to microsoftupdate. But then, microsoftupdate instead does NOT work.

    Im not 100% sure if other stuff from windowsupdate works since the image we've been using is very uptodate and the only remaining "patch" is initially the update to microsoft-update. 

    But, Im under the impression at least that windowsupdate does work that step and microsoftupdate does NOT work at all with proxy enabled.
  • Please answer the same questions.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • i have the same issue here.
    Version of Astaro? ASG 7.501 
    HTTP Proxy in which mode? Transparent Mode 
    HTTPS scanning enabled? Yes
    Astaro Cert also loaded via MMC? ASG Cert. is loaded to the Explorer.
  • The Astaro cert needs to be loaded in both IE and via MMC; widowsupdate will then function correctly.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • i did load Astaro Cert into MMC too, but still it is not working...
  • Same here... Since upgrading to 7.500 I did have issues with clients computers connecting directly to Windows Updates websites. We run SUS here, and have the clients conenct to out SUS servers. On the other hand. I'm not the network guy and when I make my master image for my client computers I like to connect to Windows Updates directly and build my image. I found that putting my master image machine in the transparent exceptions list in the Web Security tab resolved the issue. So it is something with the HTTP/S proxy.
  • If you still can't get it to work, check out dial a fix.  I had to use this to fix one of my PC's.

    Can you push out a this certificate to the computer account via a GPO?  If so, how? 

    C68
  • There's a really easy way to fix the issues that the https scanner introduces..turn it off.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow