Client SSL Certificates/Mutual SSL Authentication Possible?

Hi, Brad, and welcome to the User BB!

Have you added the UTM's CA to Trusted Root Authorities on the server?  The reverse proxy certainly won't pass the client's cert, but I bet it would supply its own.  Any luck with that?

Cheers - Bob

Hey Bob,

I think passing the UTM cert defeats the purpose of client certificates. Our admin department has several govt. sites where client certs are used and those are so that the govt. has assurance that we are part of a specific organization. Two factor authentication (what you have, what you know) basically, which the UTM passing it's own cert defeats.

Drew, wouldn't the problem with the government servers be solved by getting a CA for the UTM signed by VeriSign, for example?

I see that the reverse proxy would negate the additional security they seem to require.  Perhaps a simple DNAT is called for.  Is the security offered by the client cert stronger than that offered by the reverse proxy?

Cheers - Bob

We're getting a little off topic from the OP's original question about the reverse proxy and pass-through of client certs.

In our case, given these are private government servers for administering stuff like staff Social Security and Medical Services data, the govt won't won't trust an outside third party to verify us. The certs are govt issued and are tied to our logins so that our staff can only access the data from designated workstations, with their own login.

The idea is that by giving the client cert to us, they avoid issues like people accessing sensitive data from home or a hacker who keylogged the password from gaining access. Access becomes two factor, what you have (a designated PC in the office), and what you know (your ID & password).

Thanks for your comments Bob and Andrew!

Andrew, you are correct in why our client is using the client certificates.  It gives an added layer of security to authenticate the users.  We can't simply add a cert to the UTM and have it passed back to the web server.  The web server sitting behind the UTM needs to see the client's unique certificate(each client has their own unique cert).  The web server will then check their username and password against the certificate they provide.  If everything checks out, we authenticate and let them in.

I currently have a DNAT running in place with the one UTM instance and everything works fine in that configuration.  The username/password and the client cert gives us the authentication level we require.  I'd like to implement the web protection features so that the UTM can monitor the traffic coming from an authenticated user and drop/log anything harmful before it gets to the web server.  The client cert and the web server protection are handling two different functions of our overall security architecture.

Andrew, have you implemented client side certs successfully with Sophos UTM before?

Thanks,
Brad

Brad, please have your reseller get Sophos Support involved and then let us know the result of that.

Cheers - Bob