SSL-Zertifikat auf WatchGuard Dimension incl. Key importieren
Gerade bin ich über das Problem gestolpert, ein vorhandenes 3rd-Party-SSL-Zertifikat auf einer WatchGuard Dimension zu installieren. Dabei stellte sich heraus, dass der Import per PEM copy+paste Feld immer mit der Fehlermeldung “Unable to find matching CSR file” quittiert wurde.
Scheinbar sucht die Dimension nach einem selbst erstellten CSR und den passenden KEY lokal (was ja eigentlich richtig ist, der Key sollte das Gerät nicht verlassen).
Was macht man aber, wenn man ein vorhandenes Zertifikat incl. Private Key hat und verwenden möchte, z.B. ein unternehmensweites Wildcard Zertifikat?
Folgender Weg hat zum Erfolg geführt:
- System Settings => Manage Trusted CA Certificates (ein kleiner Link, kein eigener Button)
- dort alle Intermediate Zertifikate einspielen – analog dem Vorgehen beim Firebox System Manager beispielsweise beim Einsatz von LetsEncrypt-Zertifikaten.
- das SSL-Zertifikat wird incl. CA-Zertifikat in ein PFX Zertifikat gewandelt
unter Linux beispielsweise mitopenssl pkcs12 -export \ -out dimension.domain.de.pfx \ -inkey dimension.domain.de.key \ -in dimension.domain.de.crt \ -certfile intermediate.crt - das PFX-File wird importiert.
letzteres hat dann funktioniert.
WatchGuard hat da anscheinend was entscheidendes vergessen. PFX ist zwar richtig aber irgendwas scheint in der Dimension keine PFX Zertifikate zu mögen….
Importieren kann ich kein einziges. Es erscheint eine Fehlermeldung
Invalid PFX format
Weiß einer was das Ding von mir will ?
danke
ich tippe darauf, dass das PFX mit einem “zu neuen” oder “zu alten” openssl (oder derivaten daraus) erzeugt wurde.
Hintergrund:
Ähnlich openssh hat openssl 3.0 einige Algorithmen von der “Standardverwendung” ausgeschlossen.
Im Falle von openssl wurden diese in ein internes Library-Modul “legacy provider” verschoben und werden per Default
nicht mehr verwendet.
Es kann nun entweder sein, dass das PFX zu alt oder zu neu ist, je nachdem welche der beiden Komponenten (PFX-Erzeugung oder PFX auslesen durch die Dimension) die neuen Verfahren erzwingt.
Ich hatte diese Woche bereits einmal eine Rückmeldung eines Kunden, der das ganze wie folgt lösen konnte:
zunächst auf einem Debian 11 mit OpenSSL 1.1.1w das Zertifikat und das PFX erstellt => funktionierte nicht.
auf einem Debian 12 mit OpenSSL 3 das Zertifikat von PFX zu PEM und zurück zu PFX konvertiert.
Danach konnte das Zertifikat auf der Dimension installiert werden.
Dadurch dass bei der Dimension die neue Version openssl 3.0.8 in Verwendung ist, wird wohl die legacy Option nicht mehr akzeptiert.
Ob das nun ein Bug ist oder ein Security-Feature, darüber mag man sicherlich streiten.
Abhilfe:
>$ openssl pkcs12 -legacy -in old.pfx -nodes -out output.pem
>$ openssl pkcs12 -in output.pem -export -out new.pfx