Hallo,
wir sind darauf angewiesen im Test von SSLLabs.com eine A-Wertung zu bekommen. Dafür haben wir ein Zertifikat dessen Zertifizierungspfad Global-Sign -> AlphaSSL -> unser Zertifikat ist.
Leider bekommen wir nur die Note B, da das AlphaSSL Zertifikat anscheinend nicht mit übertragen wird von der Firewall. Unter CA wurden beide Zertifikate (Erst GlobalSign, dann AlphaSSL) hinzugefügt. Danach das Webserver-Zertifikat. Dieses enthält den privaten Schlüssel sowie das Zertifikat an sich. Ich habe auch versucht das AlphaSSL Zertifikat mit in die Datei zu packen, leider ist das Ergebnis unverändert - es wird immer noch angezeigt, dass 1 Zertifikat übertragen wurde (also nicht 2 wie in der Datei).
Bei einer Seite, welche das gewünschte Bild liefert steht statt "Extra Download" die Meldung "Sent by Server" (https://www.ssllabs.com/ssltest/analyze ... sllabs.com -> Certification Paths ausklappen).
Kann man dieses Verhalten von der UTM erzeugen lassen?
EDIT: Ich habe soeben mal in die DB geschaut und da fehlen dem Zertifikat in der Tabelle x509 alle Zwischenzertifizierungsstellen. Müsste man dann wohl von Hand ändern`?
Zertifikat Reverse Proxy
Moderator: Securepoint
Habe das Problem jetzt gelöst bzw. einen Workaround gefunden : in den erweiterten einstellen in der squid-reverse.conf das Hardcodierte squid-reverse.pem durch eine andere Datei ersetzen und in diese das Zertifikat, so wie es sein soll, packen.
Wie es aussieht wird sowohl beim schreiben in die Datenbank als auch beim generieren der .pem Datei aus der Datenbank das Zwischenzertifikat entfernt (habe versucht das Zertifikat über SSH in der Datenbank zu tauschen, leider bleibt die enstehende .pem dabei unverändert).
Dieses Verhalten sollte man unbedingt ändern!
Wie es aussieht wird sowohl beim schreiben in die Datenbank als auch beim generieren der .pem Datei aus der Datenbank das Zwischenzertifikat entfernt (habe versucht das Zertifikat über SSH in der Datenbank zu tauschen, leider bleibt die enstehende .pem dabei unverändert).
Dieses Verhalten sollte man unbedingt ändern!
"Strg + Alt +A" -> Extras -> Erweiterte Einstellungen -> Vorlagen -> /etc/ssl/squid-reverse.pem
Da fügen Sie unten ein:
"NAME-DES-INTERMEDIATES" muss genau so eingegeben werden, wie sie es in der Zertifikats-Übersicht in der Spalte "Name" sehen.
Dann Speichern, Reverse Proxy neu starten. Profit.
Da fügen Sie unten ein:
Code: Alles auswählen
{{ print cert_get_pem_by_name("NAME-DES-INTERMEDIATES“) }}
Dann Speichern, Reverse Proxy neu starten. Profit.
Vielen Dank, werde ich bei Gelegenheitversuchen - die Lösung die ich im 2. Beitrag geschrieben hat läuft ja auch...
Können Sie sagen wann Squid auf Version mindestens 3.5.13 erfolgt? Wir bräuchten folgendes aus dem Change Log:
3.5.13:
- Support Elliptic Curve ciphers in TLS
Ist es möglich Squid "manuel" zu updaten (es scheint kein dpkg auf der FW zu sein)?
Das Problem ist ja, das ich keine Cipher Suite finde die Chrome/Android unterstützt und gleichzeitig Forward Secrecy bietet...
Können Sie sagen wann Squid auf Version mindestens 3.5.13 erfolgt? Wir bräuchten folgendes aus dem Change Log:
3.5.13:
- Support Elliptic Curve ciphers in TLS
Ist es möglich Squid "manuel" zu updaten (es scheint kein dpkg auf der FW zu sein)?
Das Problem ist ja, das ich keine Cipher Suite finde die Chrome/Android unterstützt und gleichzeitig Forward Secrecy bietet...