глюки с https инспекцией

[BlowFish]

Всем привет! Какая то непонятная ерунда с публикацией owa. Поменяли security gateway с 5000 серии на файерволл 6000 серии. Политика осталась та же, перенесли все сертификаты. Настроена публикация exchange - owa и activesync. Проблема заключается в том что activesync перестал работать на айфонах а при попытке зайти из мира по адресу outlook web access то браузер скачивает файл owa с непонятным содержимым. NAT не трогали все как было так и осталось. Андроид телефоны соединяются по active sync без проблем. Подскажите что можно проверить??
Политика https inspection настроена таким образом что когда юзер подключается из мира то checkpoint должен выдавать ему wildcard сертификат. Но видимо этого не происходит.
У кого какие идеи?

 

[GoodWIN]

Microsoft Remote Connectivity Analyzer

testconnectivity.microsoft.com

 

[BlowFish]

Microsoft Remote Connectivity Analyzer

testconnectivity.microsoft.com

весь прикол в том что этот тесть полностью зеленый и говорит что все ок с подключением. Пробовал перезагрузить CAS сервер Exchange но тоже не помогло.

 

[UEF]

Попробуй отключить правило в https inspection policy которое отвечает за outlook web access. А какой сертификат использует exchange ?

 

[BlowFish]

Попробуй отключить правило в https inspection policy которое отвечает за outlook web access. А какой сертификат использует exchange ?

В почтовом сервере сидит сертификат моего центра сертификации. По идее он будет не доверенный если из мира стучаться. Попробую

 

[zlodey]

Всем привет! Какая то непонятная ерунда с публикацией owa. Поменяли security gateway с 5000 серии на файерволл 6000 серии. Политика осталась та же, перенесли все сертификаты. Настроена публикация exchange - owa и activesync. Проблема заключается в том что activesync перестал работать на айфонах а при попытке зайти из мира по адресу outlook web access то браузер скачивает файл owa с непонятным содержимым. NAT не трогали все как было так и осталось. Андроид телефоны соединяются по active sync без проблем. Подскажите что можно проверить??
Политика https inspection настроена таким образом что когда юзер подключается из мира то checkpoint должен выдавать ему wildcard сертификат. Но видимо этого не происходит.
У кого какие идеи?

попробуй переключить правило для начала в bypass. Тогда owa будет выходить с outbound сертификатом

 

[BlowFish]

Заработало когда выключил правило. Точнее не совсем - OWA стала доступна и для айфонов и для андроидов но ругается естественно на сертификат моего центра сертификации. А как в чекпойнт установить wildcard сертификат?

 

[Fox]

Please follow the steps below to generate your CSR Code.

Import your root and intermediate certificates

1. Prepare your root and intermediate certificates. Make sure each certificate is in its own text file with a .crt extension. You can use any text editor such as Notepad to create the .crt files
   Note: Some CAs require two intermediate certs for better browsers compatibility. You should create a separate .crt file for each certificate and install them one at a time.
2. Log into your SmartDashboard Checkpoint GUI
3. In the Servers and OPSEC Application tab go to > Servers > Trusted CAs > New CA and click Trusted
4. In the Certificate Authority Proprieties window, select the General tab and enter any name and comment in the Name and Comment fields. Click OK
5. Next, move to the OPSEC PKI tab, and under Retrieve CL From, check only the HTTP Server(s) option
6. Under Certificate, next to Get the CA Certificate from a file (obtained from the FW or CA Administrator, click on the Get button
7. Browse and open your Root.crt certificate file. Click OK
8. Go to Servers > Trusted CAs and look for your root CA certificates. If it’s there, the import was successful
9. Now, import your intermediate certificate. Repeat steps 3,4,5,6 to upload your intermediate cert
10. Browse and open your Intermediate.crt certificate file. Click OK
11. Go to Servers > Trusted CAs and look for your root and intermediate certificates. If they are there, the import was successful.

Generate the CSR request

1. In your SmartDashboard, expand the Network Objects tab, right-click the CheckPoint gateway/cluster and select Edit
2. In the Gateway Cluster Properties Window, from the left pane, select VPN then click Add
3. In the Certificate Properties window, enter a Certificate Nickname of your choice
4. In the same window, from the CA to enroll from the drop-down list, select the intermediate certificate you imported in step 10
5. Hit the Generate button and then Yes
6. In the Generate Certificate Request Window in the DN box, you need to enter the following contact details, in a single long string, separated by commas. Please follow the examples below and enter your actual details:
   • CN (Common Name): provide the FQDN (fully-qualified domain name you want to secure. For example, yourwebsite.com
     Note: If you have a wildcard certificate, add an asterisk (*) in front of your domain name. For example, *.yourwebsite.com
   • OU (Organizational Unit): name the unit within your organization requesting the SSL certificate. For instance, IT or Web Administration
   • O (Organization): submit the full, legal name of your company. For example, GPI Holding LLC
   • L (Locality): type the full name of the city where your company is registered. For example, San Jose
   • ST (State or region): write the full name of the state or region where your company is located. For instance, California
   • C (Country): enter the two-letter code of your country. For example, US. You can find more country codes here
     The whole string should look like this:
     CN=yourwebsite.com, OU=IT, O=Your Company Name, L=City, ST=State, C=Country
7. Click OK and return to the Gateway Cluster Properties, under VPN. You should see now a certificate request under the Nickname you created
8. Click View to see your newly generated CSR code
9. You can now copy the CSR content, including the BEGIN and END tags into a text editor of your choice and save the file on your device. Click Save to File to export your CSR code, then OK
10. You will need to use the CSR code during your SSL order with your vendor.

Install an SSL Certificate on CheckPoint
Since you’ve already imported the root and intermediate Certificates into CheckPoint, all that’s left is your primary SSL Certificate. You should receive it via email from your CA in a ZIP Folder. After you download and extract your primary SSL Certificate, please follow the steps below to complete the installation:

1. In your SmartDashboard, expand the Network Objects tree, right-click your CheckPoint gateway/cluster, and select Edit
2. In the Gateway Cluster Properties window, choose VPN, then select the Nickname you gave to your cert during CSR generation, in step 3. Click Complete
3. Next, browse your SSL Certificate and click Open
4. Double check the details of your certificate and click OK

Congratulations, you’ve successfully installed an SSL Certificate on CheckPoint VPN.