WebAdmin - neues (Wildcard)Zertifikat - OpenSSL Heart bleed Patch

Share

Update 9.201-23
Fix: OpenSSL vulnerability: TLS heartbeat read overrun (CVE-2014-0160)

Nach dem Schließen der OpenSSL Sicherheitslücke durch den Patch
empfiehlt Sophos die CA und das Zertifikat für 

den WebAdmin auszutauschen und die Passwörter zu ändern. Da das User Portal und der WebAdmin das gleiche SSL-Zertifikat benutzen, kann eine Kompromittierung des Zertifikates oder der CA durchaus möglich sein.
.
.

Sophos empfiehlt die WebAdmin CA + Zertifikat neu zu erstellen

>> Heartbleed: Recommended steps for UTM

Der Patch kommt über Up2Date oder kann per FTP hier geladen werden, Dateiname u2d-sys-9.200011-201023.tgz.gpg

.
.
Eine einfache und sinnvolle Lösung ist die Benutzung eines validen Wildcard Zertifikates für den WebAdmin und das User Portal, dieses kann auch für alle internen und externen (Internet-) Webserver genutzt werden.
Valide SSL-Zertifikate gibt es schon ab 14€/Monat bei verschiedenen Anbietern, GoDaddy, StartSSL und Comodo sind gute Alternativen zu VeriSign oder Thawte.

.
Wildcard Zertifikate können für alle Subdomains einer Domain verwendet werden, hier am Beispiel von Facebook.com (Schlosszeichen in der Adressleiste anklicken):

Sophos UTM SSL Zertifikat Facebook

Sophos UTM SSL Zertifikat Facebook Wildcard

.
.
Wenn die interne (z.B. MeineDomain.local) und externe Domäne (z.B. InternetDomaine.de) nicht gleich sind, ist das Zertifikat intern nicht gültig (falscher DNS Name im Zertifikat), außer man wendet einen kleinen "Trick" an: Die InternetDomaine.de wird auch intern verwendet, z.B. für den Zugriff auf den WebAdmin, internen WebServer und den Exchange Server (Outlook Anywhere, Autodiscover).
Man kann dann alle Webserver immer über die gleiche UTL (z.B. https://owa.MeineDomaine.de) aufrufen, dass ist für User einfach zu merken.

.
Dazu wird die DNS Auflösung der internen Server auf das Zertifikat (Wildcard = *.InternetDomaine.de) angepasst:

Im DNS Server (meistens der DC) wird eine neue im DNS MS AD DNS eine neue Forward-Lookup angelegt und zwar mit dem im Wildcard Zertifikat hinterlegten
DNS Namen = IntenetDomaine.de

MS AD Neue DNS Zone

Angelegt wird eine neue Primäre Zone mit dem Zonenname des Wildcard SSL Zertifikats (z.B. InternetDomaine.de, also die Email- und Webseiten Domäne):

.
Danach sind im DNS zwei Lookupzonen vorhanden, AD (=Interne) und Email (=Internetdomäne)

MS AD Neue DNS primaere Zone

 

MS AD Neue DNS primäe Zone Name

Danach sind im AD DNS beide Zonen vorhanden, das SSL Wildcard ist für die .de gültig.

MS AD Neue DNS 2 primaere Zonen.png

.
.
Jetzt kann ich für die UTM/WebAdmin oder User Portal einen DNS A eintragen, z.B. user.IntenetDomaine.de mit einer internen IP:

MS AD Neue DNS A

User DNS A

(=IP des Internal Interface der UTM)

.
Alle Clients, die den DC (AD-DNS) Server eingetragen haben, bekommen jetzt für die Namensauflösung user.Internetdomaine.de die interne IP der Sophos UTM ausgegeben. Wenn jetzt noch das Wildcard Zertifikat für den WebAdmin/User Portal benutzt wird.

.
.
Das valide SSL Wildcard Zertifkat (z.B. von Comodo) kann  unter Webserver Protection -> Certificate Management "+New certificate..." importiert werden:

Sophos UTM Import SSL Zertifikat

.
.
Danach kann man das Zertifikat unter
Management -> WebAdmin Settings |HTTPS Certificate| für das User Portal und den WebAdmin benutzen:

Sophos UTM SSL Zertifikat WebAdmin

Das Beispiel hier für den WebAdmin ist für meine Domäne Neise.de, als Namen kann man *.Domaine.de benutzen.

.
.
Das Zertifikat wird jetzt auch für das User Portal verwendet, wenn das Portal auch über das Internet erreichbar sein soll, dann auf die externe IP binden. Dazu  muss die externe WAN IP der UTM auch als Subdomain im DNS des Internetseiten Provider eingetragen werden, unter dem gleichen Namen wie die interne, also in diesem Beispiel user.InternetDomaine.de.
Sophos UTM SSL Zertifikat User Portal

Der DNS A user.InternetDomaine.de muss natürlich auch im internen DNS angelegt sein.
.
Die Website (www.InternetDomaine.de) muss auch einen DNS A mit der externen IP bekommen, da der interne DNS alle Abfragen an die Internetdomain selbst beantwortet und nicht weiterleitet.

 

.
Wie man das Wilcard Zertifkat für einen IIS benutzt kann man in dem Artikel

Sophos UTM als CA – Wildcard SSL Zertifikat erstellen

nachlesen, der Teil mit dem Erstellen des CA muss natürlich nicht durchgeführt werden, dafür hat man ja das valide SSL Zertifikat gekauft.
Falls der IIS das Wildcard Zertifikat nicht immer einwandfrei erkennt, sollte man in den IIS die gesamte Chain importieren, also alle pubkeys der Zertifikate "darüber" (kann man sich von der Website des Zertifikat-Herausgebers herunterladen).

Bei Fragen mailen oder per Skype schreibe :)

 

 

Münster AD 2014

Share