Sophos UTM: WebAdmin und Userportal mit Let’s Encrypt Zertifikaten absichern

WebAdmin und Userportal zeigen nach der Installation eine Sicherheitsmeldung, welche die Zertifikate bemängelt. Damit diese verschwindet ohne jedes Jahr ein neues Zertifikat kaufen und einpflegen zu müssen oder manuell die Zertifikate zu verteilen kann man auch kostenlose Let’s Encrypt Zertifikate verwenden – das geniale daran ist auch noch, das diese einen Updatemechanismus haben, da diese nur 3 Monate Laufzeit haben.

Um dies verwenden zu können, muss man den externen Port 443 (HTTPS) jedoch der Sophos UTM zugeordnet (z.B. dem Userportal) haben und diesen nicht etwa an einen internen Server per NAT weiterleiten – Hintergrund ist, das per HTTPS die Zertifikatsbestätigung geschieht und ist dann dann die Sophos UTM nicht auf dem Port erreichbar, dann kann hier auch keine Bestätigung erfolgen.

Geht dazu wie folgt vor:

  • Geht zu Webserver Protection (auch wenn ihr dafür keine Lizenz haben solltet) > Certificate Management > Advanced
  • Aktiviert den Punkt Allow Let’s Encrypt Certificates und drückt Apply
  • Geht zu Webserver Protection (auch wenn ihr dafür keine Lizenz haben solltet) > Certificate Management >Certificates
  • Wählt New Certificate
  • Vergebt einen Namen wie z.B. WebAdmin und wählt bei Method Let’s Encrypt > Wählt das Interface mit Internetverbindung und gebt anschließend eine Domain ein durch klicken auf das grüne Plus.
  • Speichert alles ab und wartet einen Augenblick, bis das Zertifikat erstellt wurde
  • Anschließend noch unter Management > WebAdmin Settings > HTTPS Certificate > Certificates das entsprechende Zertifikat auswählen und speichern
  • Anschließend noch unter Management > User Portal > Advanced > Certificates das entsprechende Zertifikat auswählen und speichern

Anmerkung:

  • Je nach Lizenz kann man auch mit der WAF (Web Application Firewall) interne Webserver veröffentlichen und diese auch mit Let’s Encrypt Zertifikaten absichern (wobei darauf zu achten ist, das das Zertifikat dann „nur“ auf der Sophos UTM selber ist und nicht auf dem Server – bei Servern, welche das Zertifikat ebenfalls benötigen (z.B. on Prem Exchange Server) hilft dieses nicht weiter
  • Sollte euer „WAN Port“ keinen direkt Zugriff haben auf das Internet, dann bitte entsprechend das Routing / Firewall oder NAT anpassen
  • Nach der Änderung am WebAdmin werdet ihr abgemeldet – ggf. kann es sein, das der Browser danach rumzickt, prüft erst mal ob es reicht den Cache usw. zu leeren oder aber verwendet einen anderen Browser, ggf. kann es sein das ihr eine HSTS Fehlermeldung erhaltet – wartet dann einfach ein paar Minuten und versucht es erneut

Tags: , , , ,