Securepoint Support Forum

Hallo Forum,

ich möchte die SSL-VPN Umgebung von 10 auf 11 Migrieren. Da ich nicht allen VPN-Useren eine neue SSL-Konfiguration zukommen lassen möchte, dachte ich mir ich kann von der 10er Box die Zertifikate exportieren und auf der 11er importieren, im Anschluss die User anlegen und die Kennwörter entsprechend den alten zu setzen.

Von der 10er Box habe ich alle Zertifikate als .p12 und als .pem exportiert. Der Import der p12-Dateien schlägt fehl, .pem lässt sich importieren.

Aber ich habe in einem ersten unüberlegten Schritt auf der 11er Box schon Zertifikate angelegt. Ich habe zwar alle Zertifikate per WebGUI gelöscht, erhalte jetzt aber beim Import die Fehlermeldung dass ein Zetrtifikat schon existiert und nicht importiert werden kann.

Jetzt gibt es wie immer zwei Möglichkeiten,

- ich baue die SSL-Zertifikatsstruktur fürs VPN neu auf, dann würde ich gerne ein offizielles Zertifikat nutzen und muss dann halt in den sauren Apfel beissen und alles neu machen
- ich finde mit Eurer Hilfe die Möglichkeit bei den Zertifikaten komplett neu zu beginnen ohne die Boxy komplett rücksetzen zu müssen. Ich habe schon 6 Stunden damit verbraten, daß Regelwerk nachzubauen....

Lt. cli "cert get" haben die Zertifikate Status Revoked, wie werde ich die los? Mit der CLi, kann ich die wohl nicht löschen.

Was wäre Euer Vorschlag, wie ist das zu bewerkstelligen.

Danke
Grüße

Georg

Erstmal der Disclaimer: Wenn beim Rumspielen an der DB was kaputt geht, brauchen Sie gar nicht erst anrufen Am besten, Sie fertigen vor den Änderungen ein Backup der Config an. Dass Sie die Änderungen nur durchführen, wenn Sie nicht nur Remote an das Gerät kommen, sollte klar sein.

Loggen Sie sich mit dem root-Benutzer auf einer SSH-Konsole an und führen folgenden Befehl aus: Bitte beachten Sie, dass auf diese Art gelöschte Zertifikate, die bereits revoked waren, von der Firewall wieder als gültig erkannt werden, sofern Sie die zugehörige CA nicht ebenfalls löschen.

Hallo,

ich habe den Eindruck, daß der SQL-Befehl leider nichts tut.

Ich kann den "delete from objects where object_name = 'Name_des_Objektes'" ausführen so oft ich will, wenn ich z.b einen "select count(object_name) from objects;" ausführe, dann bleibt die Zahl immer gleich und bei enem select * from objects wird das Objekt auch noch angezeigt. Irgend etwas fehlt. Commit ist leider nicht die Lsg...
Danke
Grüße

Dann wird da nichts gelöscht, weil es den object_name nicht gibt. Posten Sie bitte mal den Output vom CLI-Befehl "cert get" (interessant sind nur die ersten zwei Spalten) und den delete-Befehl, den Sie verwenden.

Hi,
Type "quit" or "exit" to close this terminal.
cli> cert get

250|SSL_ServerCA |DE |
252|SSL_User_Baxxx |DE
253|SSL_User_Benxxx |DE
254|SSL_User_Gixxx |DE
255|SSL_User_glexxx |DE
256|SSL_User_Hesxxxxxxxxx|DE
257|SSl_User_JAxxxxxx |DE
258|SSL_User_Nxxx |DE
259|SSL_User_Rixxx |DE
260|SSL_User_Sigxxxxxx |DE
261|SSL_User_Wxxxx |DE
262|tech.mxxx |DE
263|SSL_User_SMaxxx |DE
280|SSLVPN_CA |DE
281|SS_User_OPanxxx |DE

Alle Zertifikate haben Status revoked....
Ich habe die SSL_User anonymisiert.

Mein Lösch-Befehl, 1. putty, 2. login als root, 3. sqlite3 /tmp/running.db "delete from objects where object_name = 'SS_User_OPanxxx' "

Starte ich mit sqlite3 /tmp/running.db eine SQL-Session und machen einen "select object_name from objects" wird mir das oben eigentlich mit delete gelöschte Object SS_User_OPanXXX noch als Ergebnis meiner Abfrage angezeigt.

Grüße
Georg

Kann ich nicht nachvollziehen: Wenn der Name zu schwierig ist, können Sie auch über die object_id löschen. Für mein Beispiel oben wäre das dann:

Hallo Erik,

warum auch immer hat es jetzt funktioniert. Ich habe den Befehl mit der object_id sausgfeführt und in der CLI bekomme ich mit cert get jetzt ein leere Ergebnis.

Super und Danke,
Grüße

Georg