Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 6821 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF Active Sync with Clientcertificate authentication

Hallowach2
Hi,

I'm trying to setup WAF for exchange active sync with client authentication based on user certificates. I'm getting the following message in the WAF log:

[warn] Proxy client certificate callback: (owa.lalalala.de:443) downstream server wanted client certificate but none are configured


My question is: Wich certificate is missing where?

I have the AD-user-cert (call it a.) on the device, the CA Cert for the user cert (call it b.) - this also signes the exchange servers certs - and the VPN CA from my asg (call it c.). The WAF virtual server uses the san cert of my exchange servers (call it d.) that is signed by the CA Cert (this is b.) that is also imported as verification CA (btw. owa is working with an other 'normal' pc client).

- a. is signed by b.
- d. is signed by b.
- device has a. and b. and should trust d.
- asg has b. and d.

Any help is appreciated :-).

Regards
Manfred


This thread was automatically locked due to age.
  • 0
    Is nobody using user certificate based authentication for active sync?

    After lots of googleing it seems that it is basically possible to pass user certs through apache/mod_security - but how to do that with WAF?

    I forgot to mention - I'm on 8.303.

    Regards
    Manfred
  • 0
    I am successfully but I have 1 san certificate from digicert; not like your scenario.
  • 0
    Hi Longman,

    can you explain/show the settings (virtual server, real server, firewall, exeptions) you made and where wich cert is installed? Maybe that helps me a little to find out where my mistake is.

    Regards
    Manfred
  • 0
    Here are some screen shots.

    Capture1.PNG

    Capture2.PNG

    Capture3.PNG
  • 0
    Hi Langman,

    thanks for the screenshots. I tried with enabled URL Hardening/Entry URL + exceptions with no luck. I think I have to wait until UTM9 and Sitepathrouting to get only the Activesync URL published.

    Can you give some hints regarding the certs? Wich cert is used in WAF and did you import any asg cert to your exchange server? I'm still confused by the error message in post#1.

    Regards
    Manfred
  • 0
    The only cert I used was a san cert purchased from digicert, installed on the exchange server and enabled for all the relevant services and finally imported into the astaro firewall for use with waf. I would try a dnat rule first to verify that your activesync clients can work with that approach. If they can't then you have a cert issue.
  • 0
    I have already verfied that the clients work if I use a dnat instead of waf - that works fine. I think the problem is the url hardening/entry url feature (even with exceptions).
Unfiltered HTML