8
Browserzertifikat in der Sophos UTM hinterlegen
Nabend Zusammen,
mal ne doofe Frage:
Kann man ein SSL-Zertifikat welches man für den Aufruf einer bestimmten Seite benötigt und welches man normalerweise im Browser importieren muss auf der UTM hinterlegen, so dass jeder aus diesem Netz auf die Seite zugreifen kann?
Ansonsten wird das sicher via Gruppenrichtlinie gehen, korrekt?
VG
x
mal ne doofe Frage:
Kann man ein SSL-Zertifikat welches man für den Aufruf einer bestimmten Seite benötigt und welches man normalerweise im Browser importieren muss auf der UTM hinterlegen, so dass jeder aus diesem Netz auf die Seite zugreifen kann?
Ansonsten wird das sicher via Gruppenrichtlinie gehen, korrekt?
VG
x
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 391115
Url: https://administrator.de/contentid/391115
Printed on: April 26, 2024 at 21:04 o'clock
8 Comments
Latest comment
Hallo,
wenn ich dich richtig verstanden habe, dann habt ihr eine Website, die eine Authentifizierung via Zertifikat verlangt. Du möchtest nun auf der Sophos ein Proxy einrichten und dort das Zertifikat hinterlegen, damit alle Nutzer auf diese Website gelangen, ohne dass das Zertifikat lokal auf der WS vorhanden sein muss?
Generell sollte das schon machbar sein. Einfach das Zertifikat in den Cert Store auf der Sophos importieren und den Proxy einrichten.
Alternativ einfach das Zertifikat via Gruppenrichtlinie verteilen.
Falls du auf die Alternative zurückgreifen solltest:
Erstelle für jeden Benutzer sein eigenes Zertifikat, um im Falle einer Kompromittierung das Zertifikat des betroffenen Users widerrufen zu können.
Beachte außerdem, dass beispielsweise der Firefox seinen eigenen Cert Store hat.
Viele Grüße,
Exception
wenn ich dich richtig verstanden habe, dann habt ihr eine Website, die eine Authentifizierung via Zertifikat verlangt. Du möchtest nun auf der Sophos ein Proxy einrichten und dort das Zertifikat hinterlegen, damit alle Nutzer auf diese Website gelangen, ohne dass das Zertifikat lokal auf der WS vorhanden sein muss?
Generell sollte das schon machbar sein. Einfach das Zertifikat in den Cert Store auf der Sophos importieren und den Proxy einrichten.
Alternativ einfach das Zertifikat via Gruppenrichtlinie verteilen.
Falls du auf die Alternative zurückgreifen solltest:
Erstelle für jeden Benutzer sein eigenes Zertifikat, um im Falle einer Kompromittierung das Zertifikat des betroffenen Users widerrufen zu können.
Beachte außerdem, dass beispielsweise der Firefox seinen eigenen Cert Store hat.
Viele Grüße,
Exception
1
Hi Exception,
danke für deine Antwort!
Richtig, genau so möchte ich das. Muss der Proxy denn dann bei den Nutzern eingerichtet werden oder wie läuft das?
Das Zertifikat wird uns von extern zur Verfügung gestellt - kann also nicht jedem eins zur Verfügung stellen. Es geht um 6 Nutzer für die das greifen soll.
Viele Grüße
X
danke für deine Antwort!
Richtig, genau so möchte ich das. Muss der Proxy denn dann bei den Nutzern eingerichtet werden oder wie läuft das?
Das Zertifikat wird uns von extern zur Verfügung gestellt - kann also nicht jedem eins zur Verfügung stellen. Es geht um 6 Nutzer für die das greifen soll.
Viele Grüße
X
Ich hab gerade mal nachgesehen, aber ich finde nichts wo ich den Proxy einrichten kann der ein Zertifikat nutzt?
Grüße
Grüße
Richtig, genau so möchte ich das. Muss der Proxy denn dann bei den Nutzern eingerichtet werden oder wie läuft das?
Kommt auf die Konfiguration drauf an. Bei einem Forward Proxy muss die Konfiguration statisch bei den Clients hinterlegt werden.
Bei einem transparenten Proxy dagegen nicht. Der Client schickt ganz normal sein IP-Paket an das Gateway und dieser leitet die Anfrage an den Proxy transparent weiter.
Ich hab aber nen .p12 Zertifikat was ich erstmal umwandeln müsste :/
Umgewandelt, hochgeladen, transparenter Proxy ist an - geht aber nichts 
Oh Sorry. Vergiss was ich oben geschrieben habe. Mit einem Forward Proxy geht sowas nicht bzw. zumindest nicht mit dem Sophos und wenn dann auch nur mit viel Aufwand. Das würde allerdings problemlos mit einem Reverse Proxy funktionieren. Der Reverse Proxy von der Sophos UTM scheint das allerdings ebenso nicht zu unterstützen. Hab gerade selber mal danach geschaut.
Du könntest ein Raspberry Pi hinstellen und dort NGINX als Reverse Proxy bereitstellen. Dort gibt es eine entsprechende Funktionalität, mit der du dem Proxy ein Client Zertifikat mitgeben kannst, der dann die Authentifizierung bei der Gegenstelle durchführt.
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_cert ...
Ob sich der Aufwand wegen 6 Nutzern lohnt ist dann natürlich eine andere Sache. Ist es denn eine sehr kritische Applikation? Kannst du nicht bei der entsprechenden Stelle nachfragen, ob ihr zusätzliche Zertifikate bekommen könnt?
Ansonsten wirst du vermutlich nicht darumkommen das Zertifikat via GPO an alle 6 Benutzer zu verteilen. Ist halt nur sicherheitstechnisch und verwaltungstechnisch nicht sinnvoll, wenn alle den selben Schlüssel verwenden. Insbesondere, wenn der Inhalt der geschützen Website kritisch ist.
Du könntest ein Raspberry Pi hinstellen und dort NGINX als Reverse Proxy bereitstellen. Dort gibt es eine entsprechende Funktionalität, mit der du dem Proxy ein Client Zertifikat mitgeben kannst, der dann die Authentifizierung bei der Gegenstelle durchführt.
http://nginx.org/en/docs/http/ngx_http_proxy_module.html#proxy_ssl_cert ...
Ob sich der Aufwand wegen 6 Nutzern lohnt ist dann natürlich eine andere Sache. Ist es denn eine sehr kritische Applikation? Kannst du nicht bei der entsprechenden Stelle nachfragen, ob ihr zusätzliche Zertifikate bekommen könnt?
Ansonsten wirst du vermutlich nicht darumkommen das Zertifikat via GPO an alle 6 Benutzer zu verteilen. Ist halt nur sicherheitstechnisch und verwaltungstechnisch nicht sinnvoll, wenn alle den selben Schlüssel verwenden. Insbesondere, wenn der Inhalt der geschützen Website kritisch ist.
1
Danke für die Antwort.
Habs mir schon fast gedacht und du hast Recht - der Aufwand dafür lohnt sich nicht.
Ich werde das dann per Richtlinie verteilen.
Danke dir.
VG
x
Habs mir schon fast gedacht und du hast Recht - der Aufwand dafür lohnt sich nicht.
Ich werde das dann per Richtlinie verteilen.
Danke dir.
VG
x