Tag Archives: Zertifikat

HTTP-Content-Action am Beispiel OWA – Blocken von /ecp/

Seit der aktuellen Version unterstützt WatchGuard im Content-Filter die Auswahl eines SSL-Zertifikates, sowie mehrere SSL-Zertifikate für TLS/Proxy-Inbound Inspection.

Am Beispiel des Outlook-Webaccess wird die Konfiguration einer HTTP-Content-Action in Verbindung mit eingehender Deep Inspection über HTTPS-Proxy aufgezeigt.

Weiterlesen »

Best Practices – Zertifikatsverwaltung für Firebox Systeme

Inhalt:

Digitale Zertifikate werden in vielen IT-Bereichen verwendet um Kommunikation zwischen Systemen gesichert zu ermöglichen und die Integrität der Kommunikation zu gewährleisten. Firebox Systeme verwenden Zertifikate für verschiedene Zwecke und Funktionen – dieses Webinar stellt die üblichen Funktionen vor und zeigt praxisnahe Beispiele der Zertifikatsverwaltung mit Firebox Appliances.

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Jetzt online für dieses kostenfreie Webinar registrieren

Ersetzen eines Webserver-Zertifikates auf der Firebox im Fully Managed Mode

Kürzlich ist folgender Fall aufgetreten:

  • SSL-Zertifkate werden typischerweise auf der Firebox über den Firebox System Manager erledigt. Dort konnte das Zertifikat auch hochgeladen werden.
  • Das Zertifikat muß anschließend aber über den Policy Manager unter Setup => Authentication => Web Server Certificate ausgewählt werden.
  • Das geht aber nicht, weil das Zertifikat dort nicht erscheint.

Hintergrund: im fully managed mode liegt die komplette Verwaltung der XML-Konfiguration auf dem Management-Server. Da das Zertifikat dann auch in der XML-Konfiguration stehen muß, zumindest mit der ID, unter der es angesprochen werden soll, fehlt die ID des neu auf die Box importierten Zertifikates. Im Policy Manager gibt es keine Möglichkeit, dieses Zertifikat aufzunehmen.

Workaraound:

  • Zertifikat mittels Firebox System Manager wie üblich auf der Box installieren
  • Box kurzfristig vom fully managed mode in den basic managed mode schalten.
  • Box danach sofort wieder vom basic managed mode in den fully managed mode zurückschalten
  • Policy Manager öffnen und das Zertifikat entsprechend Setup => Authentication => Web Server Certificate  unter auswählen.

Was passiert hier?

  • beim Wechsel vom fully managed mode in den basic managed mode wird auf der Box nur der “managed mode” geändert.
  • beim Wechsel vom basic managed mode in den fully managed mode wird die komplette policy neu von der Box geladen und in den Management Server geschrieben.
  • dabei werden wohl auch die vorhandenen IDs aller Zertifikate mitübernommen, d.h. das neu importierte Zertifikat ist nun in der Drop-Down-Box verfügbar.

 

 

Erneuerung der Default Firebox Zertifikate per CLI

Um die Default-Zertifikate der Firebox zu erneuern, ist das übliche vorgehen, das entsprechende Zertifikat zu löschen und die Box zu rebooten.

Will man oder muß man den Reboot vermeiden, so kann man die Erzeugung der Zertifikate auch von der WatchGuard CLI triggern. Je nach Zertifikat sind folgende Befehle hilfreich:

  • für das default Proxy Authority  sowie Proxy Server Zertifikat (für HTTPS Deep Inspection): upgrade certificate proxy
  • für das Firebox web server Zertifikat: upgrade certificate web
  • für das SSLVPN Zertifikat: upgrade certificate sslvpn
  • für das 802.1x Zertifikat: upgrade certificate 8021x

SSL-Zertifikat auf WatchGuard Dimension incl. Key importieren

could-not-find-csr-file

Gerade bin ich über das Problem gestolpert, ein vorhandenes 3rd-Party-SSL-Zertifikat auf einer WatchGuard Dimension zu installieren. Dabei stellte sich heraus, daß der Import per PEM copy+paste Feld immer mit der Fehlermeldung “Unable to find matching CSR file” quittiert wurde.

Scheinbar sucht die Dimension nach einem selbst erstellten CSR und den passenden KEY lokal (was ja eigentlich richtig ist, der key sollte das Gerät nicht verlassen).

 

Was macht man aber, wenn man ein vorhandenes Zertifikat incl. Private Key hat und verwenden möchte, z.B. ein unternehmensweites Wildcard Zertifikat?

Weiterlesen »

Neuer Knowledge Base Content im Juli 2016

WatchGuard erstellt ständig neue Inhalte in der Knowledge Base. Die folgenden Artikel wurden im Mai 2016 hinzugefügt. Um die WatchGuard Knowledge Base zu durchsuchen, verwenden Sie die Technische Suche (Technical Search) im WatchGuard Support Center.

Known Issues (Login auf der WatchGuard Website erforderlich)

LetsEncrypt Zertifikat als Proxy-Zertifikat auf Watchguard Firebox

Ziel

Setup eines kostenfreien SSL-Zertifikates zum Testen des TLS-Proxies auf einer Watchguard. Für den weiteren Artikel wird hier @mail.meinedomain.de@ als Hostname vorausgesetzt.

Voraussetzung

  • DNS konfiguration: mail.meinedomain.de muß im DNS als A-Record und PTR-Record auflösbar sein
  • WWW-Konfiguration: http://mail.meinedomain.de/ muß auf einen Webserver zeigen, auf den man Zugriff hat, um die Authorisierungs-Dateien zu hinterlegen

Weiterlesen »

Öffentliches Zertifikat für Anmeldeseite (Port 4100 tcp) verwenden

Wenn auf der WatchGuard Firebox oder WatchGuard XTM mit User Authentication gearbeitet wird - also Firewall-Regeln verwendet werden, dieauf User-Basis greifen und nicht auf Maschinen-Basis - kommt häufig dieAnmeldeseite der Firewall ins Spiel, die über
https://[IP-der-Firebox]:4100
aufgerufen wird. Die Anmeldeseite verwendet SSL-Verschlüsselung. Hierfür wird standardmäßig ein von WatchGuard selbst generiertes Zertifikat verwendet, das aber nicht von einer öffentlichen Zertifizierungsstelle rückbestätigt ist, weswegen beim Aufruf die allseits bekannte Warnmeldung des Browsers erscheint. 

Der beste Ansatz, dieses Verhalten zu umgehen, ist der Einsatz eines offiziellen Webserver SSL-Zertifikats, das aber kostenpflichtig ist und im Regelfall pro Jahr ebenfalls kostenpflichtig erneuert werden muss.

Alternativ dazu kann bei Vorhandensein einer (Windows) Active Directory Umgebung dort auch eine eigene (Windows-)Zertifizierungsstelle aufgesetzt und darüber ein eigenes Webserver-Zertifikat generiert werden. Computer, die Mitglied der Domäne sind, lernen dieses Zertifikat dann automatisch.

Folgende Zertifikate sind ab Werk auf einer WatchGuard Appliance unter Fireware XTM 11.3.x vorhanden:

Das SSL Zertifikat von WatchGuard kann durch ein offizielles, von einer allgemein bekannten Zertifizierungsstelle rückbestätigtes SSL Zertifikat ersetzt werden. Hier reicht schon ein einfaches Zertifikat z.B. von RapidSSL aus, das bereits für 10,95 USD pro Jahr erhältlich ist. Alternativ kann (mit den bekannten Einschränkungen) auch ein von einer firmeninternen, privaten Zertifizierungsstelle erstelltes Zertifikat verwendet werden. Es empfiehlt sich, das Zertifikat für einen griffigen Hostname ausstellen zu lassen (firewall.kundenname.de, watchguard.kundenname.de, fw.kundenname.de etc.) und diesen über DNS korrekt bekannt zu machen. Zur allgemeinen Vorgehensweise:

WatchGuard System Manager (WSM) > Connect to Firebox > Firebox System Manager > View > Certificates > Create Request.
Der abschließend erzeugte CSR (Certificate Signing Request) wird an die Zertifizierungsstelle geschickt, für die man sich entschieden hat. Wenn das von dort ausgestellte Zertifikat vorliegt, kann es über "Import Certificate / CRL" auf die Firebox importiert werden. Wenn das Root-Zertifikat der CA nicht in der Liste der defaultmäßig enthaltenen CA Certificates enthalten ist (http://www.watchguard.com/help/docs/wsm/11/en-US/Content/en-US/certificates/cert_auto_trusted_list_c.html), muss es VOR dem Import des eigentlichen Zertifikats auf die gleiche Weise importiert werden, da sonst ein Fehler generiert wird: "Error: Error occurred while performing 'import certificate': certificate add error msg="Failed to import a certificate!! 6_982: certificate validation fail" add certificate". Das Root-CA Zertifikat von RapidSSL findet sich übrigens hier:http://www.geotrust.com/resources/root_certificates/certificates/Equifax_Secure_Certificate_Authority.cer. Wählen Sie für den Import jeweils die Option"IPSec, Web Server, Other". Der erfolgreiche Import wird angezeigt:

Nun ist/sind die offiziellen Zertifikat(e) zwar schon auf der Firebox vorhanden, müssen aber noch für den Einsatz auf der Authentication Webpage der Firebox ausgewählt werden:
Policy Manager > Setup > Authentication > Web Server Certificate... > Third Party Certificate auswählen > OK > Save to Firebox.
Abschließend muss die Firebox einmal durchgebootet werden, damit diese Änderung auch tatsächlich aktiv wird:

Neuer Knowledge Base Content im Mai 2016

WatchGuard erstellt ständig neue Inhalte in der Knowledge Base. Die folgenden Artikel wurden im Mai 2016 hinzugefügt. Um die WatchGuard Knowledge Base zu durchsuchen, verwenden Sie die Technische Suche (Technical Search) im WatchGuard Support Center.

Artikel

Known Issues (Login auf der WatchGuard Website erforderlich)

Austausch SSL-Zertifikat WatchGuard Quarantine Server

Nach der Installation des WatchGuard Quarantine Servers ist dieser mit einem Self Signed Certificate ausgestattet. Dieses erzeugt bei allen Benutzern eine Vertraulichkeits-Warnung im Browser. Um dies zu umgehen, kann man ein offizielles SSL-Zertifikat auf den Quarantine Server hochladen und aktivieren.

Hintergrund

das Web Frontend des Quarantine Servers ist ein Apache, die Config-Dateien liegen typischerweise hier:

C:\ProgramData\WatchGuard\wqserver

certs
conf
db
htdocs
keys
tasks
tmp
wqserver.ini
wqserver.pid

Kauf und Installation des offiziellen Zertifikats

Für das offizielle Zertifikat zu kaufen, benötigt man einen CSR (Certificate Signing Request), den man z.B. auf einem Linux-Host mit openssl erzeugen kann (Key und CSR). Bei der Zertifizierungsstelle Ihres Vertrauens kaufen Sie damit das Zertifikat.

Anschließend sollte sowohl der Key als auch das Zertifikat gesichert werden:
certs/wgagent.pem und keys/wgagent.pem jeweils umbenennen nach “.sik”.

Das Zertifikat wird dann im Verzeichnis certs/wgagent.pem im Format für NGINX hinterlegt: in einer Datei zunächst das Zertifikat und darunter falls vorhanden das CA-Bundle-Zertifikat.

Der Key wird unter keys/wgagent.pem hinterlegt.

Durchstarten des Quarantine-Servers

im ServerCenter kann der Quarantine Server nun durch Rechtsklick=>stop server, Rechtsklick=>start server durchgestartet werden. Nun sollte das offizielle Zertifikat ausgeliefert werden.