Wenn jetzt noch DNS-Challanges möglich wären und damit Wildcard-Zertifikate gehen würden, wäre es natürlich noch schöner :) Aber schonmal Mega endlich dieses Feature zu haben
DNS Challenge hätte einiges mehr an Entwicklung gedauert und exkludiert auch viele Kunden. Die Anzahl an Kunden, die einen API basierten DNS Provider haben, ist doch geringer, daher haben wir den Weg gewählt, der auch die UTM Firewall damals gewählt hat.
@@SophosDACHSEBei Sophos XGS DynDNS mit Cloudflare wird der A/AAAA DNS Record doch auch durch API Calls aktualisiert? Einen TXT Record mit der API zu erstellen wäre schön gewesen… :/
@@Felix-ve9hs Theoretisch ja - Dafür braucht der Kunde aber einen Cloudflare Account. Wir haben uns dafür entschieden, im ersten Schritt, für alle Kunden Zertifikate anzubieten und nicht Kunden zu exkludieren.
SFOS kann die Challenge auch, wie bei UTM, mittels HTTP auf eine Private IP durchführen. Es muss nur sichergestellt werden, dass die Challenge auch die Firewall auf diesem Interface trifft. Bei GCNAT wird es mit HTTP Challenge schwierig. Für das Szenario haben wir aktuell keine Lösung. Häufig ist dann jedoch auch kein WAN Zugriff möglich (HTTPS oder ähnliches). In GCNAT Szenario, warum benötigt man ein LE Zertifikat auf der Firewall? Für den Webadmin?
Ich find es interessant.. wenn ich es genau so durchführe, bekomme ich beim Zertifikat einen Fehler mit der Meldung "http request error" - die temporäre WAF-Regel wird aber erstellt. Wenn ich dann wiederum aber hingehe und nebenbei temporär eine FW-Regel "Any to Any" aktiviere, dann funktioniert die Zertifikat erstellung. Mittels einem "Test-NetConnection" über PowerShell kann ich aber sehen, das Port 80 definitiv temporär freigegeben ist, solange die WAF-Regel vorhanden ist. Wo ist der "Fehler"?
Wir haben in der EAP1 ein Thema mit Systemen gefunden, die Load Probleme haben. Das bedeutet, wenn die Appliance nicht viel Performance hat, dann können die Calls, die wir nutzen, nicht funktionieren. Das wird in der V21.0 GA gelöst. Wenn die Appliance hier in dem Beispiel eine Software Appliance ist, die ggf. nicht viel Performance hat, dann liegt es wahrscheinlich daran.
Das ist nicht möglich und kann auch nicht adaptiert werden. Wir generieren auf der Firewall einen CSR und ist nur für die Firewall bestimmt. Wenn man das Zertifikat extern verwenden möchte, macht ggf. ein Wildcard Zertifikat mittels LEGO/Certbot mehr Sinn. Das kann man dann wiederverwenden. Die Firewall hier - Als Service - Ist nicht ausgelegt, um diese IT Administratoren Aufgabe zu übernehmen.
Super! Ich habe schon nicht mehr daran geglaubt ;-) Als ehemaliger UTM-Kunde ein lang vermisstes Feature was endlich in SFOS Einzug erhalten hat. TOP!
Viel Spaß damit!
Endlich!
Wenn jetzt noch DNS-Challanges möglich wären und damit Wildcard-Zertifikate gehen würden, wäre es natürlich noch schöner :)
Aber schonmal Mega endlich dieses Feature zu haben
DNS Challenge hätte einiges mehr an Entwicklung gedauert und exkludiert auch viele Kunden. Die Anzahl an Kunden, die einen API basierten DNS Provider haben, ist doch geringer, daher haben wir den Weg gewählt, der auch die UTM Firewall damals gewählt hat.
@@SophosDACHSEBei Sophos XGS DynDNS mit Cloudflare wird der A/AAAA DNS Record doch auch durch API Calls aktualisiert? Einen TXT Record mit der API zu erstellen wäre schön gewesen… :/
@@Felix-ve9hs Theoretisch ja - Dafür braucht der Kunde aber einen Cloudflare Account. Wir haben uns dafür entschieden, im ersten Schritt, für alle Kunden Zertifikate anzubieten und nicht Kunden zu exkludieren.
Funktioniert die HTTP-01 Challenge auch über IPv6? Bei DS-Lite wird der Zugriff vom ACME Server via IPv4 aus dem Internet nicht möglich sein.
Nein, wird nicht funktionieren, jedoch hat man dann auch keinen Zugriff auf den Webserver. Daher kann man die Zertifikate nicht einsetzen.
Hi, was wenn die WAN-IP keine öffentliche IP ist oder wann wenn man hinter einem CGNAT hängt? Stichwort DNS-Challange.
SFOS kann die Challenge auch, wie bei UTM, mittels HTTP auf eine Private IP durchführen. Es muss nur sichergestellt werden, dass die Challenge auch die Firewall auf diesem Interface trifft.
Bei GCNAT wird es mit HTTP Challenge schwierig. Für das Szenario haben wir aktuell keine Lösung. Häufig ist dann jedoch auch kein WAN Zugriff möglich (HTTPS oder ähnliches). In GCNAT Szenario, warum benötigt man ein LE Zertifikat auf der Firewall? Für den Webadmin?
Ich find es interessant.. wenn ich es genau so durchführe, bekomme ich beim Zertifikat einen Fehler mit der Meldung "http request error" - die temporäre WAF-Regel wird aber erstellt.
Wenn ich dann wiederum aber hingehe und nebenbei temporär eine FW-Regel "Any to Any" aktiviere, dann funktioniert die Zertifikat erstellung.
Mittels einem "Test-NetConnection" über PowerShell kann ich aber sehen, das Port 80 definitiv temporär freigegeben ist, solange die WAF-Regel vorhanden ist.
Wo ist der "Fehler"?
Wir haben in der EAP1 ein Thema mit Systemen gefunden, die Load Probleme haben. Das bedeutet, wenn die Appliance nicht viel Performance hat, dann können die Calls, die wir nutzen, nicht funktionieren. Das wird in der V21.0 GA gelöst.
Wenn die Appliance hier in dem Beispiel eine Software Appliance ist, die ggf. nicht viel Performance hat, dann liegt es wahrscheinlich daran.
@@SophosDACHSE Ja, es ist definitiv eine Software Appliance - aber gut zu hören, dass das Thema schon bekannt ist, dann bin ich gespannt. :)
Wie kann ich diesen Prozess z.B. auf ein kleines lokales AD / NAS Systeme Linux etc. Übertragen ohne das cert alle x Tage hündisch zu erneuern?
Das ist nicht möglich und kann auch nicht adaptiert werden. Wir generieren auf der Firewall einen CSR und ist nur für die Firewall bestimmt.
Wenn man das Zertifikat extern verwenden möchte, macht ggf. ein Wildcard Zertifikat mittels LEGO/Certbot mehr Sinn. Das kann man dann wiederverwenden.
Die Firewall hier - Als Service - Ist nicht ausgelegt, um diese IT Administratoren Aufgabe zu übernehmen.
@@SophosDACHSE Danke👍
Bitte noch OTP für WAF! Ztna ist für uns keine Alternative!
Danke für das Feedback.