xaero1982
Goto Top

Browserzertifikat in der Sophos UTM hinterlegen

Nabend Zusammen,

mal ne doofe Frage:
Kann man ein SSL-Zertifikat welches man für den Aufruf einer bestimmten Seite benötigt und welches man normalerweise im Browser importieren muss auf der UTM hinterlegen, so dass jeder aus diesem Netz auf die Seite zugreifen kann?

Ansonsten wird das sicher via Gruppenrichtlinie gehen, korrekt?

VG
x

Content-Key: 391115

Url: https://administrator.de/contentid/391115

Ausgedruckt am: 28.03.2024 um 15:03 Uhr

Mitglied: 129580
129580 31.10.2018 aktualisiert um 13:38:06 Uhr
Goto Top
Hallo,

wenn ich dich richtig verstanden habe, dann habt ihr eine Website, die eine Authentifizierung via Zertifikat verlangt. Du möchtest nun auf der Sophos ein Proxy einrichten und dort das Zertifikat hinterlegen, damit alle Nutzer auf diese Website gelangen, ohne dass das Zertifikat lokal auf der WS vorhanden sein muss?

Generell sollte das schon machbar sein. Einfach das Zertifikat in den Cert Store auf der Sophos importieren und den Proxy einrichten.
Alternativ einfach das Zertifikat via Gruppenrichtlinie verteilen.

Falls du auf die Alternative zurückgreifen solltest:
Erstelle für jeden Benutzer sein eigenes Zertifikat, um im Falle einer Kompromittierung das Zertifikat des betroffenen Users widerrufen zu können.
Beachte außerdem, dass beispielsweise der Firefox seinen eigenen Cert Store hat.

Viele Grüße,
Exception
Mitglied: Xaero1982
Xaero1982 31.10.2018 um 20:40:15 Uhr
Goto Top
Hi Exception,

danke für deine Antwort!

Richtig, genau so möchte ich das. Muss der Proxy denn dann bei den Nutzern eingerichtet werden oder wie läuft das?

Das Zertifikat wird uns von extern zur Verfügung gestellt - kann also nicht jedem eins zur Verfügung stellen. Es geht um 6 Nutzer für die das greifen soll.

Viele Grüße
X
Mitglied: Xaero1982
Xaero1982 31.10.2018 um 20:46:21 Uhr
Goto Top
Ich hab gerade mal nachgesehen, aber ich finde nichts wo ich den Proxy einrichten kann der ein Zertifikat nutzt?

Grüße
Mitglied: 129580
129580 31.10.2018 um 20:47:10 Uhr
Goto Top
Richtig, genau so möchte ich das. Muss der Proxy denn dann bei den Nutzern eingerichtet werden oder wie läuft das?

Kommt auf die Konfiguration drauf an. Bei einem Forward Proxy muss die Konfiguration statisch bei den Clients hinterlegt werden.
Bei einem transparenten Proxy dagegen nicht. Der Client schickt ganz normal sein IP-Paket an das Gateway und dieser leitet die Anfrage an den Proxy transparent weiter.
Mitglied: Xaero1982
Xaero1982 31.10.2018 um 21:08:57 Uhr
Goto Top
Ich hab aber nen .p12 Zertifikat was ich erstmal umwandeln müsste :/
Mitglied: Xaero1982
Xaero1982 31.10.2018 um 21:27:56 Uhr
Goto Top
Umgewandelt, hochgeladen, transparenter Proxy ist an - geht aber nichts face-smile
Mitglied: 129580
Lösung 129580 01.11.2018 aktualisiert um 12:00:34 Uhr
Goto Top
Oh Sorry. Vergiss was ich oben geschrieben habe. Mit einem Forward Proxy geht sowas nicht bzw. zumindest nicht mit dem Sophos und wenn dann auch nur mit viel Aufwand. Das würde allerdings problemlos mit einem Reverse Proxy funktionieren. Der Reverse Proxy von der Sophos UTM scheint das allerdings ebenso nicht zu unterstützen. Hab gerade selber mal danach geschaut.

Du könntest ein Raspberry Pi hinstellen und dort NGINX als Reverse Proxy bereitstellen. Dort gibt es eine entsprechende Funktionalität, mit der du dem Proxy ein Client Zertifikat mitgeben kannst, der dann die Authentifizierung bei der Gegenstelle durchführt.
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_cert ...

Ob sich der Aufwand wegen 6 Nutzern lohnt ist dann natürlich eine andere Sache. Ist es denn eine sehr kritische Applikation? Kannst du nicht bei der entsprechenden Stelle nachfragen, ob ihr zusätzliche Zertifikate bekommen könnt?

Ansonsten wirst du vermutlich nicht darumkommen das Zertifikat via GPO an alle 6 Benutzer zu verteilen. Ist halt nur sicherheitstechnisch und verwaltungstechnisch nicht sinnvoll, wenn alle den selben Schlüssel verwenden. Insbesondere, wenn der Inhalt der geschützen Website kritisch ist.
Mitglied: Xaero1982
Xaero1982 01.11.2018 um 18:05:02 Uhr
Goto Top
Danke für die Antwort.
Habs mir schon fast gedacht und du hast Recht - der Aufwand dafür lohnt sich nicht.

Ich werde das dann per Richtlinie verteilen.

Danke dir.

VG
x