Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 9273 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

https proxy certificate on android

ckruesi
I’ve activated https scanning on the proxy (documentation in German: http://wp.me/p1Ml8G-Zg). Everything works with our internal computers, where we deployed the certificate with group policies.
 
But we also allow our teachers and students to use their own devices over a guest wireless network. Therefore we published on our website a link to http://passthrough.fw-notify.net/cacert.pem. If someone connects to our guest wireless network, he will be redirected to this site. So that should be an easy way to import the certificate.
 
The problem is that I can’t import the certificate delivered by http://passthrough.fw-notify.net/cacert.pem on Android devices. 

I’ve read that Android needs certificates in a binary format. I could export such a certificate from a windows machine. 

Is there another way to get a valid certificate for Android from the utm?

or

Is it save to publish the certificate on a public website instead of the only internally available utm fw-notify site? It is the certificate without the private key so there shouldn’t be a security issue. But I’m not sure. 

Thanks for any answer.


This thread was automatically locked due to age.
  • 0
    As far as I know you cannot add custom CA certs to Androids trusted CA zones - only Certs for Wifi or VPN can be imported.

    *.pem file is correct - you can try to rename it to .crt or convert it once via:
    https://www.sslshopper.com/article-most-common-openssl-commands.html?jn554906de (some helpful openssl commands)
  • 0
    Thank you for your help. 

    As far as I know you cannot add custom CA certs to Androids trusted CA zones - only Certs for Wifi or VPN can be imported.

    Yes, the certificate is only possible in the private part. But it looks like it would work.

    *.pem file is correct - you can try to rename it to .crt or convert it once via:
    https://www.sslshopper.com/article-m...tml?jn554906de (some helpful openssl commands) 

    Thanks for that too. I converted it with my windows machine (see http://wp.me/p1Ml8G-Zg - sorry in german). Worked also. 

    It looks like there's no way, that the utm itself delivers a valid certificate for android. So I published both certificates on our website. I'm not sure if this is safe. If I understand it correct, nobody can do something with this certificates beside of the intended use as certificate for our proxy. 

    So I would be happy if someone could confirm me that it is safe to publish the certificates on our public Website.
  • 0
    The Proxy CA Cert has a private key which might be used to mark unwanted websites as "trust me" due your Proxy accepts his own cert.
    In reality I think the chance that somebody sets up a page especially for your proxy to deliver bad content are really low.

    Secondly: Anybody having that private key can be a man in the middle for the Internet traffic being routed from Sophos  requesting client.
    This is a valid security risk due anybody can read encrypted traffic then on your network (due he can use the private key stored in the cert for encrypting)

    Also keep in mind: In the certs there might be info about your Network like Sophos Firmware Version/IP Address you might not want to expose to others.
  • 0
    Thank you very much for your answer. 

    But for BYOD I have to give the certificate to our teachers and students, at least from inside our network. 

    I thought that the .cer Zertificate (export as PEM from the UTM) holds only the public key. So the endpoint can encrypt the content with the public key from this certificate. And the utm has the private key which is not stored in the certificate for the endpoints. With this private key the UTM can decrypt the content. Is this wrong?

    Thanks, Christian
  • 0
    Yepp you got that right - deploying the .pem/.cer is fine due it only hold the public key of the WebCA

    So there is one more thing that makes explanation even more complex: The sophos will automatically create a Cert for e.g. https://google.com if you browse to - so the Sophos acts as Certificate authority. Therefore all auto-created certs for Webpages are signed with the private Key of the CA. The public key is used to validate the Sophos Web CA's Fingerprint info in the generated cert for https://google.com
  • 0
    Great, thank you for your answer. 
    So I published the two certs (one for android) on our website. The users connect to our guest wifi and are forwarded to that site after they entered the password of the day. After your explanations I think this is a good and secure way to do it. Thanks again.
Unfiltered HTML