3
Watchguard Firebox M470 Zertifikat-Import automatisieren
Moin,
kurze Frage: Wenn SSL auf der WG terminiert braucht die Proxy-Policy ja Zertifikat, damit kein Fehler auftritt.
Firebox ist Version 12.5. Damit lassen sich ja nun auch mehrere Zertifikate hinterlegen. Durch *.domain.com aktuell zwar nicht so wichtig, wäre denn noch "nice-to-have".
Zertifikat ist von Let's Encrypt. Wollte es mit
von ftp importieren. Geht auch. Nur dann ist Default-Proxy damit überschrieben. In der GUI/ WG-Manager kann man zus. Namen festlegen und ein Überschreiben zulassen. Genau solche Parameter fehlen in der Command Line Interface Reference
v12.5
Hab es noch nicht probiert. Bei einigen Systemen kann man ja auch via curl etc. die Daten reinpumpen. Bei z.B. Block-Sites scheinen alle Einträge in JSON Array zu stehen und werden dann dann komplett bei klick auf SAVE auf die Büchse gespielt.
Wollte es einfach halten. Zertifikat via CLI von ftp mit obenstehenden Kommando importieren. Nur da fehlen mir ein paar Features
Durch Wildcard Domain ist es zwar kein Drama, finde es dennoch schade. Wenn man mehrere Web-Proxy, bzw. Domänen zu prüfen hat, kann man es schlecht auseinander halten, bzw. muss es händisch zuordnen.
Hat noch jemand eine Idee?
mfg Crusher
kurze Frage: Wenn SSL auf der WG terminiert braucht die Proxy-Policy ja Zertifikat, damit kein Fehler auftritt.
Firebox ist Version 12.5. Damit lassen sich ja nun auch mehrere Zertifikate hinterlegen. Durch *.domain.com aktuell zwar nicht so wichtig, wäre denn noch "nice-to-have".
Zertifikat ist von Let's Encrypt. Wollte es mit
import certificate (cert-function) from (location) (certificate password)
von ftp importieren. Geht auch. Nur dann ist Default-Proxy damit überschrieben. In der GUI/ WG-Manager kann man zus. Namen festlegen und ein Überschreiben zulassen. Genau solche Parameter fehlen in der Command Line Interface Reference
v12.5
Hab es noch nicht probiert. Bei einigen Systemen kann man ja auch via curl etc. die Daten reinpumpen. Bei z.B. Block-Sites scheinen alle Einträge in JSON Array zu stehen und werden dann dann komplett bei klick auf SAVE auf die Büchse gespielt.
Wollte es einfach halten. Zertifikat via CLI von ftp mit obenstehenden Kommando importieren. Nur da fehlen mir ein paar Features
Durch Wildcard Domain ist es zwar kein Drama, finde es dennoch schade. Wenn man mehrere Web-Proxy, bzw. Domänen zu prüfen hat, kann man es schlecht auseinander halten, bzw. muss es händisch zuordnen.
Hat noch jemand eine Idee?
mfg Crusher
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672010
Url: https://administrator.de/forum/watchguard-firebox-m470-zertifikat-import-automatisieren-672010.html
Ausgedruckt am: 18.03.2025 um 21:03 Uhr
3 Kommentare
Neuester Kommentar
Hallo, ich verstehe es so:
Die Enduser hinter der Watchguard sollen durch die "https ssl proxy policy" geschützt werden und du möchtest watchguard-content inspection für https aktivieren?
Dadurch würde oben links im Browser bei https Zertifikat "watchguard" stehen statt der "https Anbieter" von z.B. tagesschau.de
D.h. die Watchguard Schutzfunktionen wie z.B. Application Control und Webblocker sollen https Verbindungen "aufbrechen+prüfen" und durch das eigene Watchguard SSL https Zertifikat ersetzen.
Der Benefit davon ist wäre z.B. das Enduser eine Watchguard Blocker Deny Page sehen würden, wenn Sie verbotenen https:// Content aufrufen. Ohne Content Inspection könnte m.W. nach trotzdem blockiert werden, allerdings hätte Enduser eine 404 Browser Error Seite vor Augen.
Das ganze ist insofern tricky, das die User das Watchguard SSL Zertifikat installiert haben müssen:
https://www.watchguard.com/help/docs/help-center/en-us/Content/en-US/Fir ...
http://<Firebox IP address>:4126/certportal
Man kann aber auch andere / eigene Zerifikate dafür verwenden. (soweit ich weiß)
Hast du Watchguard Total Security oder Basic Security Lizenz?
Die Enduser hinter der Watchguard sollen durch die "https ssl proxy policy" geschützt werden und du möchtest watchguard-content inspection für https aktivieren?
Dadurch würde oben links im Browser bei https Zertifikat "watchguard" stehen statt der "https Anbieter" von z.B. tagesschau.de
D.h. die Watchguard Schutzfunktionen wie z.B. Application Control und Webblocker sollen https Verbindungen "aufbrechen+prüfen" und durch das eigene Watchguard SSL https Zertifikat ersetzen.
Der Benefit davon ist wäre z.B. das Enduser eine Watchguard Blocker Deny Page sehen würden, wenn Sie verbotenen https:// Content aufrufen. Ohne Content Inspection könnte m.W. nach trotzdem blockiert werden, allerdings hätte Enduser eine 404 Browser Error Seite vor Augen.
Das ganze ist insofern tricky, das die User das Watchguard SSL Zertifikat installiert haben müssen:
https://www.watchguard.com/help/docs/help-center/en-us/Content/en-US/Fir ...
http://<Firebox IP address>:4126/certportal
Man kann aber auch andere / eigene Zerifikate dafür verwenden. (soweit ich weiß)
Hast du Watchguard Total Security oder Basic Security Lizenz?
Die Enduser hinter der Watchguard sollen durch die "https ssl proxy policy" geschützt werden und du möchtest watchguard-content inspection für https aktivieren?
So haben wir es umgesetzt (total security). Wir haben das WG-Zertifikat auf jeder Maschine installiert und ggf. noch in einigen Apps (z.B. Firefox) im jeweiligen Benutzerprofil hinterlegt. Funktioniert prima.
Man muss alledings wissen, dass die Sache nicht mit allen Gegenstellen funktioniert. Dort wo geprüft wird, ob die Datenpakete mit dem richtigen Zertifikat verschlüsselt sind, muss man Ausnahmen hinterlegen (z.B. Banking etc.).
Zitat von @ManuManu2021:
Hallo, ich verstehe es so:
Die Enduser hinter der Watchguard sollen durch die "https ssl proxy policy" geschützt werden und du möchtest watchguard-content inspection für https aktivieren?
Hallo, ich verstehe es so:
Die Enduser hinter der Watchguard sollen durch die "https ssl proxy policy" geschützt werden und du möchtest watchguard-content inspection für https aktivieren?
Hi, ich bin jetzt bei Posh-SSH stehen geblieben.
Sowas wie 'help `r' zeigt er mir an. Ich habe es mit Invoke-SSHCommand probiert. Nun sagt es das ein admin im Edit Mode unterwegs ist. Ich schieße mich scheinbar selber ab.
Das Zertifikat wird via SSH von einem Proxy in der DMZ geholt. Ich nutze sfk als temp ftp, der nur zur Laufzeit des Scriptes kurz zum Übertragen dient: https://swissfileknife.sourceforge.net/
Momentan ist der Proxy Inbound an eine IP gebunden - für OWA gedacht.
C:\ps\web03_posh.ps1
True
AUSFÜHRLICH: Executing command import certificate proxy-server from ftp://172.30.1.174:4711/fl-proxy.pfx
AUSFÜHRLICH: Waiting for match.
AUSFÜHRLICH: Matching on pattern Name:
AUSFÜHRLICH: Executing action: toller-name.
AUSFÜHRLICH: Action has been executed.
True
toller-name
Password: Ich dachte man haut das Kennwort dahinter. Hab nun mit Posh-SSH
Invoke-SSHStreamExpectAction -ShellStream $streamWG -Command "$wgShellCommand2" -ExpectRegex 'Password:' -Action $certExportPassword -Verbose mal ausgewertet. Leider wieder ausgesperrt. Aber denke nun ich hab es gleich.
Oben sieht man ja, dass "Name" schonmal positiv quittiert wurde. Wenn das Kennwort übernommen wird, sollte der Import endlich geklappt haben.
