Hallo Community,
ich habe eine "UTM v12.2 - 12.2.5" und bin dabei den Reverse Proxy zu konfigurieren. Ihre Anleitung (auf Youtube; verlinkt aus diesem Forum) habe ich nun mehrfach durch und komme leider nicht weiter.
Der Proxy funktiert in Punkto HTTP-Kommunikation einwandfrei. Sobald die Kommunikation auf HTTPS stattfinden soll, erhalte ich Zertifikatsprobleme, denn es kann keine sichere Verbindung hergestellt werden. Dabei ist es mit bewusst, dass eine eigene Zertifizierungsstelle im Internet natürlich nicht vertrauenswürdig ist. Das ist auch nicht das Problem. Wenn man auf die Website surft (von außerhalb des Intranets), erhält man die Fehlermeldung wie schon beschrieben. Allerdings kann man das Risiko akzeptieren, und trotzdem nicht fortfahren.
Fehlermeldung 1 (Firefox): Warnung: Mögliches Sicherheitsrisiko erkannt.
==> Hier kommt jetzt die Meldung, dass das Zertifikat vom Aussteller selbst signiert wurde.
==> Risiko wird akzeptiert.
Fehlermeldung 2 (Firefox): Fehler: Gesicherte Verbindung fehlgeschlagen.
==> SSL_ERROR_RX_CERTIFICATE_REQUIRED_ALERT
Seltsam ist allerdings, dass die Stammzertifizierungsstelle des Unternehmens auf dem Rechner vorhanden und installiert ist. Sowohl im Firefox-eigenen Zertifikatsspeicher als auch auf dem Rechner selbst.
Zu den Sites:
1. Es sollen zwei unterschiedliche Domänen auf eben unterschiedliche Webserver im internen Netz zugegriffen werden können.
2. Die Kommunikation soll lediglich über HTTPS stattfinden aus Gründen der Sicherheit.
3. Die Kommunikation über HTTP ist aktuell nur zum Test eingerichtet. Zugriff auf die unterschiedlichen Domänen (mit jeweiligen Unter-Sites) klappt hierüber einwandfrei.
Zu den Zertifikaten:
1. Die CA ist eine "Stammzertifizierungsstelle des Unternehmens" (Windows Domäne). Erfolgreich importiert in die Firewall.
2. Das Server-Zertifikat wurde von der CA ausgestellt und wurde ebenfalls erfolgreich in die Firewall importiert.
==> SAN-Zertifikat: *.domain1; *.domain2; ...
Zu den Einstellungen unter "Reverse-Proxy":
1. "Servergruppen": Es existieren zwei Servergruppen (je Domain). Darin enthalten das Netzwerkobjekt mit interner IP-Adresse; Port 443 (SSL) ohne Zugangsdaten.
2. "ACLSETS": Es existieren zwei ACLSETS (je Domain). Darin enthalten die unterschiedlichen Sub-Sites (dstdomain).
3. "SITES": Alle vorhandenen Sites beider Domains.
4. "EINSTELLUNGEN": Modus = HTTP+HTTPS; Proxy-Port: 80; SSL-Proxy Port: 443; SSL-Zertifikat (siehe oben); SSL-CA (siehe oben)
Zu den Portfiltern:
1. Die Kommunikation Internet->external-interface-https ==> ACCEPT
2. Die Kommunikation Internet->external-interface-http ==> ACCEPT
Vielen Dank im voraus!
Guten Rutsch nach 2023...
Reverse Proxy (Zertifikatsproblem)
Moderator: Securepoint
-
axel@glitza.eu
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Moin,
> 4. "EINSTELLUNGEN": Modus = HTTP+HTTPS; Proxy-Port: 80; SSL-Proxy Port: 443; SSL-Zertifikat (siehe oben); SSL-CA (siehe oben)
Im Reverse Proxy meint der Punkt SSL-CA das der Client sich am Reverse Proxy mit einem Zeritifkat aus der CA authentifizieren muss!
Daher kommt die Meldung SSL_ERROR_RX_CERTIFICATE_REQUIRED_ALERT - die CA aus den Einstellungen dort entfernen.
Die CA muss (sofern eigene PKI) auf der UTM importiert sein und auf dem Client in den Vertrauenswürdigen Stammzertifikaten hinterlegt sein.
Mit freundlichen Grüßen
Kenneth
> 4. "EINSTELLUNGEN": Modus = HTTP+HTTPS; Proxy-Port: 80; SSL-Proxy Port: 443; SSL-Zertifikat (siehe oben); SSL-CA (siehe oben)
Im Reverse Proxy meint der Punkt SSL-CA das der Client sich am Reverse Proxy mit einem Zeritifkat aus der CA authentifizieren muss!
Daher kommt die Meldung SSL_ERROR_RX_CERTIFICATE_REQUIRED_ALERT - die CA aus den Einstellungen dort entfernen.
Die CA muss (sofern eigene PKI) auf der UTM importiert sein und auf dem Client in den Vertrauenswürdigen Stammzertifikaten hinterlegt sein.
Mit freundlichen Grüßen
Kenneth
-
axel@glitza.eu
- Beiträge: 9
- Registriert: Di 27.12.2022, 15:18
Hallo @Kennethj,
vielen Dank für Deine Antwort.
Da eine Unternehmens-Zertifizierungsstelle, mit entsprechender Intermediate CA verwendet wird, werden diese mittels Gruppenrichtlinien verteilt.
Entsprechend sind diese Informationen auf den Maschinen vorhanden.
Mein Denkfehler lag in der Aufbereitung der Zertifikate und letztlich beim Import.
1. Im Reiter Einstellungen (DANKE FÜR DEN TIPP) habe ich die CA entfernt.
2. Dann habe ich die ROOT-CA und auch die UNTERGEORDNETE-CA jeweils über mmc.exe mit Key exportiert und in die Firewall importiert.
3. Im Anschluss dann ein entsprechendes SAN-Zertifikat erzeugt und ebenfalls eingebunden.
4. Jetzt den Assistenten durchgeklickt und beide Server entsprechend für die Kommunikation freigeschaltet.
5. Alles super bis hierhin... Komme zumindest 2 Schritte weiter...
6. Jetzt bekomme ich beim Zugriff auf die Seiten den folgenden, ekeligen Fehler...
(71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:1408F10B:SSL routines:ssl3_get_record:wrong version number
Da muss ich ggf. einen weiteren Thread öffnen... Oder hast Du noch einen Tipp?
Danke bis hierher!
vielen Dank für Deine Antwort.
Da eine Unternehmens-Zertifizierungsstelle, mit entsprechender Intermediate CA verwendet wird, werden diese mittels Gruppenrichtlinien verteilt.
Entsprechend sind diese Informationen auf den Maschinen vorhanden.
Mein Denkfehler lag in der Aufbereitung der Zertifikate und letztlich beim Import.
1. Im Reiter Einstellungen (DANKE FÜR DEN TIPP) habe ich die CA entfernt.
2. Dann habe ich die ROOT-CA und auch die UNTERGEORDNETE-CA jeweils über mmc.exe mit Key exportiert und in die Firewall importiert.
3. Im Anschluss dann ein entsprechendes SAN-Zertifikat erzeugt und ebenfalls eingebunden.
4. Jetzt den Assistenten durchgeklickt und beide Server entsprechend für die Kommunikation freigeschaltet.
5. Alles super bis hierhin... Komme zumindest 2 Schritte weiter...
6. Jetzt bekomme ich beim Zugriff auf die Seiten den folgenden, ekeligen Fehler...
(71) Protocol error (TLS code: SQUID_ERR_SSL_HANDSHAKE)
Handshake with SSL server failed: error:1408F10B:SSL routines:ssl3_get_record:wrong version number
Da muss ich ggf. einen weiteren Thread öffnen... Oder hast Du noch einen Tipp?
Danke bis hierher!