Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 33867 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF Certificate list with Virtual server

deeredealer
In trying to setup a ssl virtual server, it ask for a certificate from the drop down box.
Those certificate choices come from the list under the "Certificates" tab in certificate management.

I imported my go-daddy ucc  ***.crt as a pem under the "Certificate Authority" tab in certificate management. It seemed to take ok...it shows under the "Certificate Authority" tab..but it doesn't show in the "Certificates" section after being imported nor as a choice in the drop down box in the ssl virtual server setup. 

Where am I going wrong?

I assume the ***.crt that is on my IIS DMZ server needs to be imported for the ssl virtual server to use as well.


This thread was automatically locked due to age.
  • 0
    I have a client that uses godaddy certs..it was a pain to get it integrated..i'll have to ask him how he did it.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Hi ,

    There few ways to use certificates for WAF.
    For all of them the rule is simple , for using them in the UTM for WAF you need the certificate and it's private key.
    It can be generated in Apache , IIS and al other ways you can use to generate it.
    Once it is generated you can upload it with its private key .
    Then it will work great for you.
    Without private key you won't be able to use it.
    I do it a lot with GoDaddy certificates.

    All my best ,
    Gil

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Hi ,

    There few ways to use certificates for WAF.
    For all of them the rule is simple , for using them in the UTM for WAF you need the certificate and it's private key.
    It can be generated in Apache , IIS and al other ways you can use to generate it.
    Once it is generated you can upload it with its private key .
    Then it will work great for you.
    Without private key you won't be able to use it.
    I do it a lot with GoDaddy certificates.

    All my best ,
    Gil


    Gil, thanks for your response.  My objective is to use my GoDaddy wildcard SSL (*.domain.com) for accessing my Webadmin via https://sophos.domain.com.

    No matter how I upload, it seems that under Certificate Management, my resulting upload appears with a blue keyhole icon.  And doesn't show up in the dropdown under Management > Webadmin Settings > HTTPS Certificates > Choose Webadmin/User Portal certificate.  Only those listed as X509 User Certificate are in this drop-down list.

    Also, I can export my private key as JKS, PKCS#12 or PEM format.  But regardless of which I pick, in this case PEM, when I then go ahead and import it into Sophos UTM certificate management, it reports on import: cannot import: PEM malformed (missing attribute).
  • 0
    Hi ,
    As I said .
    When you first generated the ssl on GoDaddy you did a request.
    This request has done with a web server.
    This webserver holds the private key.
    Export from this server the public and private key in pkcs#12 then port it.
    Without exporting the public cert with its private key that was generated on the request it won't work .
    You can generate a new request let's say in IIS and rekey it on godaddy.
    Then if it's IIS finis the certificate request on the server.
    Then you can do the export and it will work for you.

    All my best.

    Gilipeled.

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0
    Miles, you don't want to replace the CA for WebAdmin.  See The Zeroeth Rule in Rulz.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Miles, you don't want to replace the CA for WebAdmin.  See The Zeroeth Rule in Rulz.

    Cheers - Bob


    Bob, if I understand correctly from the Zeroeth Rule, it's recommended to use the self-signed SSL certificate for webadmin?  Even though it will be reported as not trusted?  So I shouldn't even attempt to use a GoDaddy, Verisign, Geotrust, etc. SSL cert?  My whole intent was to be verified by a trusted CA each time I access https://myrouter.mydomain.com:4444.
  • 0
    considering ca's have been getting hacked i would agree..use self-signed whenever possible..then you truly know your cert is yours.  You don't have that guarantee with a third party cert.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Just upload the WebAdmin CA to the browsers you use to access WebAdmin.  WAF can't be used to access WebAdmin.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to William Warren
    considering ca's have been getting hacked i would agree..use self-signed whenever possible..then you truly know your cert is yours.  You don't have that guarantee with a third party cert.


    Overall a big documentation opportunity.  Nevertheless I was able to figure it out as follows:

    1.) locate GoDaddy Cert (bob_cert.crt) x509 format
    2.) locate GoDaddy private key and concert to *.pem format if necessary (bob_key.pem)
    3.) Convert to PKCS#12 PFX format:

    openssl pkcs12 -inkey bob_key.pem -in bob_cert.crt -export -out bob_pfx.pfx

    4.) go to Sophos UTM certificate management and upload certificate using PKCS#12 (Cert+CA) option.  Will upload correctly and have the green lock/key icon as expected.
    5.) Management > Webadmin Settings > HTTPS Certificates > Select GoDaddy cert from the dropdown > APPLY
Unfiltered HTML