Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 5409 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL Only Website Configuration

d8fdb9f5
I'm building an web application that must use TLS end-to-end. I have viewed the Sophos AWS Demo 1 ~ 3 which were very helpful to get started. However, the example was only for HTTP.

When I try accessing my site with HTTPS I'm getting "403 Forbidden - You don't have permission to access / on this server."

I'm using the BASIC firewall profile and tried un-checking everything (common threats filter, cookie signing, etc.) but no joy.

This is the error in the WAF log:

[HTML]2015:08:11-15:17:52 fw-virginia-1b reverseproxy: [Tue Aug 11 15:17:52.621311 2015] [url_hardening:error] [pid 24639:tid 4089793392] [client x.x.x.254:56957] Hostname in HTTP request (x.x.x.142) does not match the server name (fw-virginia-1b)
2015:08:11-15:17:52 fw-virginia-1b reverseproxy: id="0299" srcip="x.x.x.254" localip="172.16.0.5" size="209" user="-" host="x.x.x.254" method="GET" statuscode="403" reason="-" extra="-" exceptions="-" time="3424" url="/" server="fw-virginia-1b" referer="-" cookie="SID=GIKNLWhFIJsBCZKktTdJ" set-cookie="-"[/HTML]

I have "static URL hardening" unchecked in the basic firewall profile; I also changed the mode to "monitor" but still the same error.

I'm assuming it has something to do with my EV SSL certificate on my web server.

So my question is how do I properly configure for an HTTPS only website? Please see the diagram below of the basic architecture on AWS. Note that the CSR generated for my EV Cert was done on the NGINX server.


This thread was automatically locked due to age.
  • 0
    Hi, and welcome to the User BB!

    Let's say you have an SSL cert for nginx.domain.com and you have associated that with a Virtual Server.  The FQDN nginx.domain.com must resolve to the public IP at 1, and the URL you must use to get through the reverseproxy is https://nginx.domain.com/.

    Does that answer your question?

    Cheers - Bob
    PS Moving this thread to the correct forum for Web Server Security.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Bob - thanks for your reply.

    Unfortunately I am still stuck.

    For 1, it is an AWS Elastic Load Balancer in which I have imported my certificate and setup an ALIAS in DNS to the ELB FQDN. In other words. nginx.domain.com points to the FQDN of the external-ELB.

    I'd like to just SSL pass-through the external-ELB --> Sophos FW ---> internal-ELB ---> web server if possible. 

    I guess what I need to know is how to setup the Sophos UTM 9 with AWS ELB using custom SSL certs.

    I also tried adding the cert in the Manage Certificates section but it is not showing up as an option to choose. I have a private key, certificate, and intermediary certificate. I added the intermediary cert to the CA section and then the cert to the Certificates section but no luck.
  • 0 in reply to d8fdb9f5
    So it looks like the problem is that I am unable to install my SSL certificate on the Sophos. I have successfully uploaded the signed certificate and intermediate certificate but it doesn't show up in the list as an option. (see screenshots)

    As an aside, I reached out to support@sophos.com for support (or instructions on how to get support) and the Sophos rep told me that AWS can support the ami. I thought that was odd and as expected, when I contacted AWS support (I have Business level support) AWS told me that they don't support Sophos's AMI.
  • 0
    Just tidying up but I was able to resolve this issue by following this Sophos article:

    https://www.sophos.com/en-us/support/knowledgebase/118084.aspx
Unfiltered HTML