{"id":2183,"date":"2010-02-17T00:16:00","date_gmt":"2010-02-16T23:16:00","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/probleme-mit-self-signed-zertifikaten-beim-update-auf-11-2\/"},"modified":"2016-08-23T15:09:23","modified_gmt":"2016-08-23T13:09:23","slug":"probleme-mit-self-signed-zertifikaten-beim-update-auf-11-2","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2010\/02\/probleme-mit-self-signed-zertifikaten-beim-update-auf-11-2\/","title":{"rendered":"Probleme mit self-signed Zertifikaten beim Update auf 11.2"},"content":{"rendered":"

Mir ist es heute zum zweiten Mal passiert, dass nach dem Update einer Firebox X Core bzw. X Peak von Fireware (Pro) 10.2.x auf Fireware XTM v11.2 zwar die Firewall\/VPN-Funktionalit\u00e4t da war, die Box jedoch \u00fcber den WatchGuard System Manager (WSM) nicht mehr ansprechbar war<\/strong>.<\/p>\n

In beiden F\u00e4llen f\u00fchre ich das Problem auf das Vorhandensein bzw. die Nutzung eines selbst generierten 3rd Party Zertifikats<\/strong> f\u00fcr die SSL-gesch\u00fctzte Web Authentication Page (Port 4100)<\/strong> zur\u00fcck. Die Zertifikate waren jeweils von einer eigenen Active Directory-integrierten Zertifizierungsstelle erzeugt worden, damit beim Laden der Firewall-Anmeldeseite auf den Dom\u00e4nen-Mitglieds-PCs die Warnmeldung des Browsers nicht angezeigt wird. Unter Fireware (Pro) 10.2.x hatte dies auch die ganze Zeit problemlos funktioniert.<\/p>\n

Beim ersten Fall vor ca. 2 Wochen stand ich sehr unter Zeitdruck (Downtime…) und habe zur schnellen Probleml\u00f6sung die Brachialmethode gew\u00e4hlt: Factory Default Reset<\/strong> \u00fcber das Command Line Interface (CLI)<\/strong> [PuTTY\/SSH auf Port 4118 der Firebox, Anmeldung als User “admin” mit der Configuration Passphrase (dem “schreibenden Kennwort”)] und Eingabe des Kommandozeilen-Befehls “restore factory-default”. Hierdurch werden u.a. die Firewall-Kennw\u00f6rter auf die Fireware XTM v11.x Defaults “readwrite” (f\u00fcr den User “admin” bzw. die Configuration Passphrase) und “readonly” (f\u00fcr den User “status” bzw. die Status Passphrase) zur\u00fcckgesetzt… Anschlie\u00dfend dann das \u00fcbliche Spiel: Durchklicken des Quick Setup Wizard, Verbinden per WSM, \u00d6ffnen des Policy Managers, Laden der letzten funktionierenden Konfigurationsdatei, \u00c4ndern der Einstellungen f\u00fcr das Web Server Certificate und “Save to Firebox”…<\/p>\n

Heute konnte ich ein paar Minuten Zeit mehr investieren und habe dabei herausgefunden, dass es offenbar auch ausreicht, auf Kommandozeilenebene die Befehle “configure” und “web-server-cert default” auszuf\u00fchren – also anstelle des 3rd Party Zertifikats das eingebaute Original-WatchGuard-Zertifikat<\/strong> auszuw\u00e4hlen. Anschlie\u00dfend konnte ich auch sofort wieder per WSM auf die Box zugreifen… Interessanterweise konnte ich anschlie\u00dfend im Policy Manager sogar wieder das 3rd Party Zertifikat ausw\u00e4hlen und problemlos wieder aktivieren… Das Problem tritt also offenbar nur genau im Moment des Software Upgrades von 10.2.x auf 11.2 auf. Ich werde mir also angew\u00f6hnen, bei Migrationen k\u00fcnftig vorsorglich \u00fcber Setup > Authentication > Web Server Certificate<\/em> zun\u00e4chst das Original-WatchGuard-Zertifikat auszuw\u00e4hlen und erst nach der Migration wieder das 3rd Party Zertifikat zu aktivieren…<\/p>\n","protected":false},"excerpt":{"rendered":"

Mir ist es heute zum zweiten Mal passiert, dass nach dem Update einer Firebox X Core bzw. X Peak von Fireware (Pro) 10.2.x auf Fireware XTM v11.2 zwar die Firewall\/VPN-Funktionalit\u00e4t da war, die Box jedoch \u00fcber den WatchGuard System Manager (WSM) nicht mehr ansprechbar war. In beiden F\u00e4llen f\u00fchre ich das Problem auf das Vorhandensein bzw. die Nutzung eines selbst generierten 3rd Party Zertifikats f\u00fcr … Weiterlesen Probleme mit self-signed Zertifikaten beim Update auf 11.2<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[69,271,289,282,283,291,292,140,302,137,312,279,35],"class_list":["post-2183","post","type-post","status-publish","format-standard","hentry","category-watchguard-technischer-blog","tag-active-directory","tag-administration","tag-factory-default","tag-fireware-11","tag-fireware-xtm","tag-konfiguration","tag-konfigurationsdatei","tag-policy-manager","tag-restore","tag-update","tag-user-authentication","tag-wsm","tag-zertifikat"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2183"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=2183"}],"version-history":[{"count":1,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2183\/revisions"}],"predecessor-version":[{"id":2324,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/2183\/revisions\/2324"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=2183"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=2183"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=2183"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}