ich habe verschiedene Aussagen zu der Möglichkeit, mit der Watchguard ein SSL-Zertifikat zu nutzen. Das von mir gekaufte und eingebundene funkktioniert nicht, ich bekomme trotzdem beim Verbindungsaufbau mit dem Client eine Zertifikatsfehlermeldung.
Also das Zertifikat ist ausgestellt auf vpn.unseredomain.de und ich gebe in meinem SSLVPN-Client als Zielserver "vpn.unseredomain.de:444" ein.
Ganz genau habe ich mir die ZErtifikatsmeldung noch nicht angesehen. Hier:
Der Herausgeber des Zertifikats dieser Site ist unbekannt oder als nicht vertrauenswürdig eingestuft. Möchten Sie den Vorgang fortsetzen?
Welche CA hat dieses Zertifikat ausgestellt (ist dem Client die Stamm-CA bekannt) ? Warum gibst Du 444 als Zielport an ? Welche Softwareversion ist auf (was für einer) Box installiert ?
750e 11.2
das ist die Meldung mit dem eigenen Zertifikat. Diese ändert sich auch dann nicht, wenn ich das Zertifikat in die Box einbinde.
Port 444 weil dieser von der Watchguard genutzt wird.
Den Port brauchste nicht angeben, die Konfiguration wird beim Starten des Clients geladen (bei der 11.2 über den Port 443, nicht mehr 4100 wie vorher).
Der Client kennt also weder den Aussteller des selbstsignierten Zertifikates der Box, noch die austellende CA des gekauften Zertifikates ?
Den Port brauchste nicht angeben, die Konfiguration wird beim Starten des Clients geladen (bei der 11.2 über den Port 443, nicht mehr 4100 wie vorher).
Der Client kennt also weder den Aussteller des selbstsignierten Zertifikates der Box, noch die austellende CA des gekauften Zertifikates ?
den Port muss ich angeben, weil es sonst nicht funktioniert (443 ist bei uns belegt, glaube durch die IPhones)
Und das gekaufte ist bei der Thawte gekauft.
/Update
Inzwischen existiert eine Aussage von Watchguard, dass ein gekauftes Zertifikat mit der Box und dieser Firmware nicht funktioniert und dies eventuell in einer der nächsten Versionen behoben wird. Ich empfinde dies, gelinde gesagt, als eine Unverschämtheit des Herstellers. Wäre mir dies so vor 4 Wochen bekannt gewesen, hätte ich mir die Verlängerung der Services zweimal überlegt.
Geändert von TruckerTom (11.03.2010 um 16:15 Uhr).
Grund: Änderung der Hintergründe
Du brauchst diesen Port aber trotzdem nicht, denn man kann fertig vorkonfigurierte Verbindungsdateien zum Client übermitteln (client.wgssl). Ich habe mal einen Fall gehabt, da wurde ebenfalls für die iPhones der Port TCP 443 nach innen geleitet. Der Port für SSL war auf TCP 4343 eingestellt. Bis zur Version 11.1 funktionierte das noch, da der Client die Konfigurationsabfrage auf dem Port TCP 4100 durchgeführt hat, welche ihm dann den TCP Port 4343 (in meinem Fall) zum Verbindungsaufbau mitgeteilt hat. Ab der Version 11.2 allerdings wurde die Konfigurationsabfrage an den Port TCP 443 geschickt, was durch die Umleitung wegen der iPhones natürlich in die Hose ging. Die Angabe des Ports im Client klappte ebenfalls nicht. Daher wurde also die Konfiguration der Watchguard entpackt und die "client.wgssl" an die Clients übermittelt. In dieser Datei steht schon der anzusprechende Port (hier TCP 4343) und der Client verbindet sich gleich, ohne die Konfiguration vorher abzufragen ...
Ich weiss, das hilft Dir bei Deinem Problem rein gar nichts, aber im Moment gibt es offenbar keinerlei Abhilfe ...
