Reverse Proxy 11.5.5

mkoehling · Beitrag von **mkoehling** » Mi 04.11.2015, 17:16

Der Reverse Proxy soll für den Zugriff auf einen Exchange-Server verwendet werden (OWA).
Wir haben uns ein offizielles Zertifikat (von Thawte) besorgt und dieses (samt Key) importiert, außerdem das dazu gehörende Zwischen- und Rootzertifikat und die CRL.
Wie bringen ich nun den Reverse Proxy dazu, nicht nur das eigentliche Zertifikat, sondern auch das Zwischenzertifikat an den Client zu senden?
Der Befehl openssl s_client -CAfile /etc/ssl/ca-bundle.pem -connect our.server.de:443 liefert (ganz oben) die Fehlermeldung:

Code: Alles auswählen

depth=0 CN = our.server.de
verify error:num=20:unable to get local issuer certificate

Wenn ich (testweise) unter Reverse Proxy -> Einstellungen -> SSL-CA das Zwischenzertifikat eintrage, liefert openssl stattdessen:

Code: Alles auswählen

depth=2 C = US, O = "thawte, Inc.", OU = Certification Services Division, OU = "(c) 2008 thawte, Inc. - For authorized use only", CN = thawte Primary Root CA - G3
verify return:1
depth=1 C = US, O = "thawte, Inc.", OU = Domain Validated SSL, CN = thawte DV SSL SHA256 CA
verify return:1
depth=0 CN = our.server.de
verify return:1

Viel besser; aber das hilft uns nicht wirklich, da es gleichzeitig die Client-Authentifizierung per Zertifikat aktiviert...
Also wie geht das nun?
Ich könnte schwören, dass das (mit einer älteren 11er-Securepoint-Version) mal funktioniert hat...

Beitrag von **Erik** » Do 05.11.2015, 10:56

Da in ihrem lokalen CA-Bundle mit hoher Wahrscheinlichkeit nur die Root-CA steht, kann openssl nicht die komplette Chain verifizieren. Um das zu ermöglichen, müssen alle Intermediates mitgesendet werden.
Drücken Sie dazu im Webinterface Strg+Alt+A und klicken dann unter "Extras" auf "Erweiterte Einstellungen" -> Vorlagen -> /etc/squid/squid-reverse.pem -> Laden
In die dritte Zeile schreiben Sie dann:

Code: Alles auswählen

{{ print cert_get_pem_by_name("NAME-DES-INTERMEDIATES") }}

Den Namen müssen Sie exakt so eintragen, wie er in der ersten Spalte der Zertifikatsverwaltung angezeigt wird.
Haben Sie mehrere Intermediates schreiben Sie die einfach analog dazu in die nächsten Zeilen.

Am Ende "Speichern" drücken und den Reverse-Proxy neu starten.

mkoehling · Beitrag von **mkoehling** » Di 10.11.2015, 15:11

Danke, scheint zu funktionieren!
Wird das demnächst auch über das GUI gehen?
(Eigentlich sollte das sogar automatisch gehen - im Zertifikat steht schließlich auch der Aussteller...)