Mit der Version 9.6 der Sophos UTM werden jetzt auch die kostenfreien Zertifikate von Let’s Encrypt unterstützt. Durch die automatisierte Verlängerung der Zertifikate können sowohl Kosten, als auch Administrationsaufwand eingespart werden. Mit der, aktuell als Beta vorliegenden Version 9.570-20, erfolgt die Einbindung der Zertifikate auf folgende Weise:

Einschalten der Let’s Encrypt Funktionalität.

Unter dem Menüpunkt „Certificate Management“ (zu finden unter „Webserver Protection“, aber auch bei „Site-to-Site VPN“ oder „Remote Access“), Reiter „Advanced“ erscheint ein neuer Eintrag.

Let's Encrypt aktivieren

Hier kann die Funktionalität aktiviert werden.

Wenn man jetzt den Reiter neu aufruft und folgenden Fehler sieht, hat man wahrscheinlich die Beta-Version als Update auf eine vorhandene UTM installiert.

Let's Encrypt Fehlermeldung

Das dazugehörige Let’s Encrypt Log (als Log oder Live-Log abrufbar) zeigt folgende Fehlermeldung an:

Let's Encrypt Fehler Log

Schuld ist ein fehlerhaftes Update Script der Beta-Version, welches die Rechte auf ein Verzeichnis nicht korrekt setzt. Der Fehler (NUTM-10315 – Let’s Encrypt can’t be enabled after upgrade from 9.5 (/etc/ssl/certs not accessible) sollte in der fertigen Version behoben sein.

Der Workaround ist: An der Kommandozeile anmelden und chmod 0755 /etc/ssl/certs und anschließen nochmal Let’s Encrypt aktivieren.

Let's Encryp Log aktiviert

Generierung eines Let’s Encrypt Zertifikates

Nun kann unter „Certificate Management“ ein neues Zertifikat erzeugt werden. Dazu steht nun eine neue Methode „Let’s Encrypt“ zur Verfügung.

Let's Encrypt generate certificate

Bei „Interface“ sollte man ein externes Interface auswählen. Scheinbar wird es zur Kommunikation mit den Let’s Encrypt Servern zur Generierung und Erneuerung der Zertifikate verwendet. Zusätzliche IP-Adressen können ebenfalls ausgewählt werden, jedoch keine Interface Gruppen. Die Verwendung interner Interfaces schlagen mit folgender Meldung fehl:

Let's Encrypt Verbindungsfehler

Ebenfalls wird ein Fehler ausgegeben, sollte der Port 80 auf dem Interface durch einen Dienst belegt sein. Da es scih um eine Beta-Version handelt, war leider noch keine weitere Dokumentation verfügbar.

Wenn alles geklappt hat, ist folgendes Zertifikat zu sehen:

Let's Encrypt Zertifikat Generierung

Nach Aktualisierung der Liste dann:

Let's Encrypt Zertifikat

Verwendung der Let’s Encrypt Zertifikate

Das erzeugt Zertifikat kann jetzt mit der Webserver Protection, beim IPSec VPN (Site-2-Site und Remote Access, inkl. L2TP und Cisco VPN) und bei der Webadmin / Userportal Konfiguration verwendet werden. Eine Verwendung für SSL-VPN läßt sich nicht einschalten und ist auch nicht sinnvoll, da das Zertifikat nach jeder Erneuerung (alle zwei Monate) neu verteilt werden müsste.

Beispiel Webserver Protection:

Let's Encrypt Webserver Protection

Bei externem Aufruf der Seite ist wunderschön ein grünes Schloss zu erkennen:

Let's Encrypt grün

Aktualisierung der Let’s Encrypt Zertifikate

Die Zertifikate können manuell in der Zertifikatsverwaltung aktualisiert werden („Renew“). Das ist jedoch nicht nötig, da ein automatiesierter Job jeden Tag die Zertifikate überprüft und alle Let’s Encrypt Zertifikate mit einer Restlaufzeit von weniger als 30 Tagen automatisch erneuert. Da die Laufzeit von Let’s Encrypt Zertifikaten auf 90 Tage beschränkt ist, werden so alle zwei Monate neue Zertifikate generiert.