Zertifikat Reverse Proxy

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Andre.S
Beiträge: 65
Registriert: Fr 19.06.2015, 14:24

Zertifikat Reverse Proxy

Beitrag von Andre.S »

Hallo,
wir sind darauf angewiesen im Test von SSLLabs.com eine A-Wertung zu bekommen. Dafür haben wir ein Zertifikat dessen Zertifizierungspfad Global-Sign -> AlphaSSL -> unser Zertifikat ist.
Leider bekommen wir nur die Note B, da das AlphaSSL Zertifikat anscheinend nicht mit übertragen wird von der Firewall. Unter CA wurden beide Zertifikate (Erst GlobalSign, dann AlphaSSL) hinzugefügt. Danach das Webserver-Zertifikat. Dieses enthält den privaten Schlüssel sowie das Zertifikat an sich. Ich habe auch versucht das AlphaSSL Zertifikat mit in die Datei zu packen, leider ist das Ergebnis unverändert - es wird immer noch angezeigt, dass 1 Zertifikat übertragen wurde (also nicht 2 wie in der Datei).

Bei einer Seite, welche das gewünschte Bild liefert steht statt "Extra Download" die Meldung "Sent by Server" (https://www.ssllabs.com/ssltest/analyze ... sllabs.com -> Certification Paths ausklappen).
Kann man dieses Verhalten von der UTM erzeugen lassen?


EDIT: Ich habe soeben mal in die DB geschaut und da fehlen dem Zertifikat in der Tabelle x509 alle Zwischenzertifizierungsstellen. Müsste man dann wohl von Hand ändern`?

Andre.S
Beiträge: 65
Registriert: Fr 19.06.2015, 14:24

Beitrag von Andre.S »

Habe das Problem jetzt gelöst bzw. einen Workaround gefunden : in den erweiterten einstellen in der squid-reverse.conf das Hardcodierte squid-reverse.pem durch eine andere Datei ersetzen und in diese das Zertifikat, so wie es sein soll, packen.

Wie es aussieht wird sowohl beim schreiben in die Datenbank als auch beim generieren der .pem Datei aus der Datenbank das Zwischenzertifikat entfernt (habe versucht das Zertifikat über SSH in der Datenbank zu tauschen, leider bleibt die enstehende .pem dabei unverändert).

Dieses Verhalten sollte man unbedingt ändern!

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

"Strg + Alt +A" -> Extras -> Erweiterte Einstellungen -> Vorlagen -> /etc/ssl/squid-reverse.pem
Da fügen Sie unten ein:

Code: Alles auswählen

{{ print cert_get_pem_by_name("NAME-DES-INTERMEDIATES“) }}
"NAME-DES-INTERMEDIATES" muss genau so eingegeben werden, wie sie es in der Zertifikats-Übersicht in der Spalte "Name" sehen.

Dann Speichern, Reverse Proxy neu starten. Profit.

Andre.S
Beiträge: 65
Registriert: Fr 19.06.2015, 14:24

Beitrag von Andre.S »

Vielen Dank, werde ich bei Gelegenheitversuchen - die Lösung die ich im 2. Beitrag geschrieben hat läuft ja auch...

Können Sie sagen wann Squid auf Version mindestens 3.5.13 erfolgt? Wir bräuchten folgendes aus dem Change Log:
3.5.13:
    - Support Elliptic Curve ciphers in TLS

Ist es möglich Squid "manuel" zu updaten (es scheint kein dpkg auf der FW zu sein)?
Das Problem ist ja, das ich keine Cipher Suite finde die Chrome/Android unterstützt und gleichzeitig Forward Secrecy bietet...

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

In der 11.7 wird der Squid 3.5 enthalten sein. Nein, einen Termin dafür habe ich noch nicht und nein, ein manuelles Update des installierten Squid ist nicht möglich.

Antworten