Tag Archives: Zertifikat

Kompatibilität HTTPS-Reverse-Proxy und Exchange/Outlook

1 Comment

Um Pfade wie /ECP/ (Exchange Admin Center) vor Zugriffen aus dem Internet zu schützen, können Sie wie >> hier beschrieben eine HTTP-Content-Action inkl. Deep Inspection verwenden. Damit der Zugriff auf Mails, OWA, etc. wie gewohnt funktioniert, ist Folgendes zu beachten:

  1. Zertifikat, welches den Exchange-Server inkl. AutoDiscover abdeckt (Bsp.: autodiscover.maildomain.xy, mx.maildomain.xy)
  2. Exchange-Server und Client müssen >> MAPI over HTTP unterstützen:

    Quelle: Microsoft

Weitere Informationen und eine Hilfestellung finden Sie in unserem Blogartikel HTTP-Content-Action am Beispiel von OWA – Blocken von /ecp/.

HOWTO: Proxy-CA ausrollen via GPO

1 Comment

Damit mittels WatchGuard Firebox auch SSL/TLS verschlüsselter Traffic untersucht werden kann, ist eine Deep-Inspection nötig. Da bei der Deep-Inspection die WatchGuard Firebox den Traffic erneut verschlüsseln muss, sollte das Zertifikat der WatchGuard im Betriebssystem als vertrauenswürdig eingestuft werden (ansonsten erscheint eine Fehlermeldung bei jeder Website). Der nachfolgende Artikel beschreibt das Ausrollen des WatchGuard Zertifikats via Gruppenrichtlinie, was besonders für diejenigen interessant sein sollte, die keine Enterprise Root CA betreiben möchten/können. Weiterlesen »

HOWTO: Erzeugen eines Zertifikats für eine untergeordnete Zertifizierungsstelle mit Windows-CA

Comment

Für die HTTPS-Deep-Inspection auf einer WatchGuard Firewall wird ein Zertifikat für eine untergeordnete Zertifizierungsstelle benötigt. Dazu verwendet man entweder das Zertifikat der Firebox selbst (das muss man dann allerdings auf alle Clients ausrollen), oder man erzeugt dieses Zertifikat selbst (wenn man eine Windows-CA im Active Directory hat). Weiterlesen »

AuthPoint-Warnung: Zertifikat läuft in Kürze ab

Comment
Das AuthPoint-Zertifikat kann für einige Anwender, die AuthPoint schon länger nutzen, in Kürze ablaufen.

Wenn Ihr Konto betroffen ist und Sie dieses Zertifikat nicht vor Ablauf ersetzen, können Ihre AuthPoint-Nutzer sich nicht mehr bei einer Ihrer SAML-Ressourcen authentifizieren. Bitte überprüfen Sie deshalb das Ablaufdatum und tauschen Sie gegebenenfalls das Zertifikat aus.

Wichtige Fragen und Antworten:

Weiterlesen »

HTTP-Content-Action am Beispiel OWA – Blocken von /ecp/

8 Comments

Seit der aktuellen Version unterstützt WatchGuard im Content-Filter die Auswahl eines SSL-Zertifikates, sowie mehrere SSL-Zertifikate für TLS/Proxy-Inbound Inspection.

Am Beispiel des Outlook-Webaccess wird die Konfiguration einer HTTP-Content-Action in Verbindung mit eingehender Deep Inspection über HTTPS-Proxy aufgezeigt.

Weiterlesen »

Best Practices – Zertifikatsverwaltung für Firebox Systeme

Comment

Inhalt:

Digitale Zertifikate werden in vielen IT-Bereichen verwendet um Kommunikation zwischen Systemen gesichert zu ermöglichen und die Integrität der Kommunikation zu gewährleisten. Firebox Systeme verwenden Zertifikate für verschiedene Zwecke und Funktionen – dieses Webinar stellt die üblichen Funktionen vor und zeigt praxisnahe Beispiele der Zertifikatsverwaltung mit Firebox Appliances.

Ziel dieser technischen Webinar-Reihe ist es, Ihnen umfassende Hintergrundinformationen zu vermitteln.
Anhand von Konfigurationsbeispielen wird dargestellt, wie Sie die Security Appliances von WatchGuard optimal und noch effektiver einsetzen können.

Jetzt online für dieses kostenfreie Webinar registrieren

Ersetzen eines Webserver-Zertifikates auf der Firebox im Fully Managed Mode

Comment

Kürzlich ist folgender Fall aufgetreten:

  • SSL-Zertifkate werden typischerweise auf der Firebox über den Firebox System Manager erledigt. Dort konnte das Zertifikat auch hochgeladen werden.
  • Das Zertifikat muß anschließend aber über den Policy Manager unter Setup => Authentication => Web Server Certificate ausgewählt werden.
  • Das geht aber nicht, weil das Zertifikat dort nicht erscheint.

Hintergrund: im fully managed mode liegt die komplette Verwaltung der XML-Konfiguration auf dem Management-Server. Da das Zertifikat dann auch in der XML-Konfiguration stehen muß, zumindest mit der ID, unter der es angesprochen werden soll, fehlt die ID des neu auf die Box importierten Zertifikates. Im Policy Manager gibt es keine Möglichkeit, dieses Zertifikat aufzunehmen.

Workaraound:

  • Zertifikat mittels Firebox System Manager wie üblich auf der Box installieren
  • Box kurzfristig vom fully managed mode in den basic managed mode schalten.
  • Box danach sofort wieder vom basic managed mode in den fully managed mode zurückschalten
  • Policy Manager öffnen und das Zertifikat entsprechend Setup => Authentication => Web Server Certificate  unter auswählen.

Was passiert hier?

  • beim Wechsel vom fully managed mode in den basic managed mode wird auf der Box nur der “managed mode” geändert.
  • beim Wechsel vom basic managed mode in den fully managed mode wird die komplette policy neu von der Box geladen und in den Management Server geschrieben.
  • dabei werden wohl auch die vorhandenen IDs aller Zertifikate mitübernommen, d.h. das neu importierte Zertifikat ist nun in der Drop-Down-Box verfügbar.

 

 

Erneuerung der Default Firebox Zertifikate per CLI

Comment

Um die Default-Zertifikate der Firebox zu erneuern, ist das übliche vorgehen, das entsprechende Zertifikat zu löschen und die Box zu rebooten.

Will man oder muß man den Reboot vermeiden, so kann man die Erzeugung der Zertifikate auch von der WatchGuard CLI triggern. Je nach Zertifikat sind folgende Befehle hilfreich:

  • für das default Proxy Authority  sowie Proxy Server Zertifikat (für HTTPS Deep Inspection): upgrade certificate proxy
  • für das Firebox web server Zertifikat: upgrade certificate web
  • für das SSLVPN Zertifikat: upgrade certificate sslvpn
  • für das 802.1x Zertifikat: upgrade certificate 8021x

SSL-Zertifikat auf WatchGuard Dimension incl. Key importieren

Comment

could-not-find-csr-file

Gerade bin ich über das Problem gestolpert, ein vorhandenes 3rd-Party-SSL-Zertifikat auf einer WatchGuard Dimension zu installieren. Dabei stellte sich heraus, daß der Import per PEM copy+paste Feld immer mit der Fehlermeldung “Unable to find matching CSR file” quittiert wurde.

Scheinbar sucht die Dimension nach einem selbst erstellten CSR und den passenden KEY lokal (was ja eigentlich richtig ist, der key sollte das Gerät nicht verlassen).

 

Was macht man aber, wenn man ein vorhandenes Zertifikat incl. Private Key hat und verwenden möchte, z.B. ein unternehmensweites Wildcard Zertifikat?

Weiterlesen »