Mit der Version 9.6 der Sophos UTM werden jetzt auch die kostenfreien Zertifikate von Let’s Encrypt unterstützt. Durch die automatisierte Verlängerung der Zertifikate können sowohl Kosten, als auch Administrationsaufwand eingespart werden. Mit der, aktuell als Beta vorliegenden Version 9.570-20, erfolgt die Einbindung der Zertifikate auf folgende Weise:
Einschalten der Let’s Encrypt Funktionalität.
Unter dem Menüpunkt „Certificate Management“ (zu finden unter „Webserver Protection“, aber auch bei „Site-to-Site VPN“ oder „Remote Access“), Reiter „Advanced“ erscheint ein neuer Eintrag.
Wenn man jetzt den Reiter neu aufruft und folgenden Fehler sieht, hat man wahrscheinlich die Beta-Version als Update auf eine vorhandene UTM installiert.
Das dazugehörige Let’s Encrypt Log (als Log oder Live-Log abrufbar) zeigt folgende Fehlermeldung an:
Schuld ist ein fehlerhaftes Update Script der Beta-Version, welches die Rechte auf ein Verzeichnis nicht korrekt setzt. Der Fehler (NUTM-10315 – Let’s Encrypt can’t be enabled after upgrade from 9.5 (/etc/ssl/certs not accessible) sollte in der fertigen Version behoben sein.
Der Workaround ist: An der Kommandozeile anmelden und chmod 0755 /etc/ssl/certs und anschließen nochmal Let’s Encrypt aktivieren.
Generierung eines Let’s Encrypt Zertifikates
Nun kann unter „Certificate Management“ ein neues Zertifikat erzeugt werden. Dazu steht nun eine neue Methode „Let’s Encrypt“ zur Verfügung.
Bei „Interface“ sollte man ein externes Interface auswählen. Scheinbar wird es zur Kommunikation mit den Let’s Encrypt Servern zur Generierung und Erneuerung der Zertifikate verwendet. Zusätzliche IP-Adressen können ebenfalls ausgewählt werden, jedoch keine Interface Gruppen. Die Verwendung interner Interfaces schlagen mit folgender Meldung fehl:
Ebenfalls wird ein Fehler ausgegeben, sollte der Port 80 auf dem Interface durch einen Dienst belegt sein. Da es scih um eine Beta-Version handelt, war leider noch keine weitere Dokumentation verfügbar.
Wenn alles geklappt hat, ist folgendes Zertifikat zu sehen:
Nach Aktualisierung der Liste dann:
Verwendung der Let’s Encrypt Zertifikate
Das erzeugt Zertifikat kann jetzt mit der Webserver Protection, beim IPSec VPN (Site-2-Site und Remote Access, inkl. L2TP und Cisco VPN) und bei der Webadmin / Userportal Konfiguration verwendet werden. Eine Verwendung für SSL-VPN läßt sich nicht einschalten und ist auch nicht sinnvoll, da das Zertifikat nach jeder Erneuerung (alle zwei Monate) neu verteilt werden müsste.
Beispiel Webserver Protection:
Bei externem Aufruf der Seite ist wunderschön ein grünes Schloss zu erkennen:
Aktualisierung der Let’s Encrypt Zertifikate
Die Zertifikate können manuell in der Zertifikatsverwaltung aktualisiert werden („Renew“). Das ist jedoch nicht nötig, da ein automatiesierter Job jeden Tag die Zertifikate überprüft und alle Let’s Encrypt Zertifikate mit einer Restlaufzeit von weniger als 30 Tagen automatisch erneuert. Da die Laufzeit von Let’s Encrypt Zertifikaten auf 90 Tage beschränkt ist, werden so alle zwei Monate neue Zertifikate generiert.