UTM 9.2 SSL certeficate error

iadh, if that is what you want then buy a certificate that is valid for passthrough.myutm.mycompany.com then in the "Certificate for End User Pages" under misc choose that purchased certificate and set the UTM hostname to "myutm.mycompany.com".  This will remove fw-notify.net and replace it with your own name which you own.

However - that does not solve your initial problem.

Here is your problem:
You go to https://www.mybank.com
The UTM needs to know your user to know whether or not you are allowed to go there.
The UTM replies up to your browser "I am www.mybank.com and here is my certificate validating I am the REAL mybank.com" and then under that certificate it says "automatic redirect to passthrough.fw-notify.com".  The browser then goes to https passthrough.fw-notify.com (which is caught by the UTM and the UTM serves the page).  The UTM then says "I am passthrough.fw-notify.com and here is my certificate validating that I am real."

In the redirection, the UTM is completely lying to the browser saying that it is mybank.com when it really is a utm-hosted page that redirects you.  The only way for that lie to succeed is for you to trust the UTM as a CA.

In the second page where the you actually load the login page, you can buy a cert and rename fw-notify.com to something you actually own.

But in the first case, where www.mybank.com redirects to the login page, the UTM must pretend it is the real mybank and therefore it must generate a certificate as a CA, and the browser must trust it.

To rephrase, you can buy a certificate that is pre-trusted by the browser valid for the UTM being the UTM (and renaming fw-notify to something you own).  You cannot buy anything that is pre-trusted by the browser for mybank.com, google.com, or any other website that the UTM pretends to be.

thanx Michael Dunn that was very helpfull.
i just need a certificate for passthrough [:D].

Then lets assume you own mycompany.com.  You should try to purchase a wildcard certificate for *.mycompany.com.  That means the certificate is valid for any hostname on that domain.  Alternately, you can do one for specific hosts.

Then upload the certificate to the utm on any of the certificate management pages.  In the "Certificate for End-User Pages" set your hostname to be something within mycompany.com.  The "passthrough" will be prepended automatically, passthrough6 for ipv6.

Finally, if you are not using the UTM as a DNS server you need to go to whatever DNS server you have and set the passthrough.myutm.mycomany.com to be the same IP address as passthrough.fw-notify.net.

This all can be tested with self-signed certs (though of course the browser wont trust it any more than UTM-signed).

All pages that are served from passthrough will now use your valid, legal cert and not generate any complaints from browsers.

All HTTPS redirection pages and block pages will use the Certificate Authority which will produce browser warnings if the CA is not installed.

Michael,

I have attempted to install a certificate as per your directions above.
I changed the "Certificate for End-User Pages" hostname to myutm.company.com.au and installed a certificate for passthrough.myutm.company.com.au.
I also added in a CNAME record for passthrough.myutm.company.com.au to point to passthrough.fw-notify.net.

When I go a HTTPS site that a warning page attached I still get a SSL certificate error and when I check the certificate information it isn't the cert I uploaded.
On a warning page that isn't HTTPS I can see that the pass through link matches that of the certificate passthrough.myutm.company.com.au.

Not sure If I have done it wrong

The last two sentences in my previous post are key.

If you try to go to https playboy.com and get a block page the UTM must pretend that it is really playboy.com and the HTML of the block page must be served in that connection, the UTM must use the Certificate Authority.

That HTML block page will contain links to icons hosted on passthrough.myutm.mycompany.com.au.  The download of those icons will using the Certificate that you have told the UTM to use.


Please note the important difference:
Certificate - is valid for a single site and can be purchased from a reputable company and automatically trusted by all clients
Certificate Authority - can be used to generate Certificates and therefore pretend that it is any site.  It is never automatically trusted by clients, it must be specifically installed.

This feature allows you to use your own Certificate for passthrough so that you can purchase one that is automatically trusted.  It does not change the requirements around the Certificate Authority.

In other words:

If you want to scann SSL traffic, you defnetly need the CA and clients that trust this CA.

If you just want to have no certificate warning message on blocked pages, because you are only using HTTPS URL filtering or none at all, a simple singed certificate is sufficent.

iadh, actually what you want is a certificate (purchased through an authority) that is valid for passthrough.utm.yourcompany.com and then under "certificate for user-user pages" upload the certificate and set the hostname to utm.yourcompany.com

hello, i think i have the same problem.

we are having a public hotspot and want to block facebook over https.

so is there a chance to get this working without a certificate warning?

i have url filter only activated.

No.  HTTPS is, by definition "Secure" which means no one can break into it (including the UTM) without a warning to the user.