Aufgrund des vermehrten Aufkommens von Kunden mit Benachrichtigungen bezüglich auslaufender Zertifikate, besonders des „HTTPS Proxy CA“ – Zertifikats, möchten wir ihnen hier eine kurze Anleitung zu Verfügung stellen, um der Ursache auf den Grund zu gehen.
Mit Sophos UTM Version 9.5 wurde ein Feature hinzugefügt, das ihnen automatisch eine Benachrichtigung sendet, sollte eines der Zertifikate im Zertifikatsspeicher der UTM innerhalb der nächsten 30 Tage auslaufen, ungeachtet dessen, ob dieses sich in Benutzung befindet oder nicht.
Die Benachrichtigung sieht wie folgt aus:
1 certificate(s) will expire within the next 30 days:
Proxy CA
—
System Uptime : 0 days 12 hours 12 minutes
System Load : 0.35
System Version : Sophos UTM 9.500-9
Please refer to the manual for detailed instructions
In diesem Beispiel ist der Name des Zertifikats „Proxy CA“.
Der Name in der Benachrichtigung reicht eventuell nicht aus, um eine manuell importierte Certificate Authority (CA) zu identifizieren.
Vorgehensweise
In vielen Fällen, zum Beispiel, wenn das auslaufende Zertifikat nicht länger genutzt wird oder bereits ersetzt wurde, kann die Benachrichtigung ignoriert werden.
Im ersten Schritt muss dass Zertifikat identifiziert werden.
Lautet der Name des Zertifikats „HTTPS Proxy CA“, navigieren sie im WebAdmin zu
Web Protection –> Filteroptionen –> HTTPS CAs
Laden sie dort das Zertifikat herunter und prüfen sie das Ablaufdatum. Wurde das Zertifikat ersetzt oder ist bereits seit längerer Zeit abgelaufen, so kann die Benachrichtigung ignoriert werden. Ist das Zertifikat abgelaufen, kann es auf derselben Seite neu erstellt werden.
Hat das Zertifikat einen anderen Namen überprüfen sie
Fernzugriff –> Zertifikatsverwaltung
Auslaufende Zertifikate sind orange bzw. rot markiert. Die Schritte zur Erneuerung des Zertifikats variieren je nach Typ:
Das Webadmin Zertifikat kann unter
Management –> WebAdmin-Einstellungen –> HTTPS-Zertifikat
erneuert werden.
Individuelle Benutzerzertifikate können erneuert werden, indem sie den entsprechenden Benutzer neu erstellen. Der Fernzugriff entsprechender Benutzer muss daraufhin neu installiert werden.
Sofern das Zertifikat nicht identifiziert werden konnte, können sie wie folgt vorgehen, um den Grund der Benachrichtigung zu ermitteln:
Überprüfen sie /var/log/fallback.log zu dem Zeitpunkt an dem die Benachrichtigung generiert wurde. An den entsprechenden Stelle finden sie die REF_ Referenz des Meta-Objektes. Der Eintrag wird dem folgenden ähnlich sein:
2017:05:10-09:17:01 SOPHOS_UTM [daemon:info] notify_expiring_certs.pl: INFO – certificate REF_CaMatCukLghXvygo2 will expire
2017:05:10-09:17:01 SOPHOS_UTM [daemon:info] notify_expiring_certs.pl: INFO – notified about 1 certificates, which will expire
Setzen sie als root-User über die Shell folgenden Befehl ab
cc get_affected_objects REF_CaMatCukLghXvygo2
REF_CaMatCukLghXvygo2 ist die Objekt-Referenz aus dem ersten Schritt. Das Kommando gibt ihnen eine zweite Objektreferenz aus, die zu dem gesuchten Zertifikat gehört.
Geben sie die zweite Objektreferenz unter Support –> Erweitert –> REF_ auflösen ein. Daraufhin wird der Inhalt des Zertifikat-Objektes ausgegeben.