Ich bin heute über einen interessanten Workaround für die Sophos UTM und Let’s Encrypt Zertifikate gestolpert:
https://github.com/rklomp/sophos-utm-letsencrypt
René hat sich die Mühe gemacht und ein Script erstellt, welches auf der Sophos UTM Let’s Encrypt Zertifikate automatisch erneuern kann.
Die Umsetzung ist relativ einfach und hat bei mir in der Testumgebung auf Anhieb funktioniert. Da die Let’s Encrypt CA auf den Webserver zugreifen muss um die Domain Validierung durchzuführen, muss die Prüfdatei auf den hinter der WAF liegenden Webserver kopiert werden. Ich hatte es erfolgreich mittels FTP getestet.
Hinweis: Hier handelt es sich um einen Workaround, der nicht offiziell von Sophos unterstützt wird, derzeit bietet die Sophos UTM keine direkte Unterstützung für den ACME Client. Für Testumgebung ist es aber dennoch eine gute Möglichkeit um an gültige Zertifikate zu kommen.
Direkte Unterstützung für Let’s Encrypt und Sophos UTM ist nach meinen Informationen für eine der nächsten Versionen geplant. Bis dahin wird man sich wohl noch etwas gedulden müssen.
Es kann sicherlich nicht schaden, wenn noch ein paar Votes zum Feature Request hinzukommen:
Im Sophos Webinar wurde nun Let’s Encrypt mit der v9.6 angekündigt. Also vermutlich erst Ende 2017 / Anfang 2018.
Dafür gibt es in der v9.5 im April Meldungen vor einem Zertifikatablauf und für die WAF URL-Redirection und WAF Templates.
Hi Nathan,
danke für die Info. Es freut mich, wenn da etwas passiert. Bin sehr gespannt auf die Umsetzung.
Gruß, Frank
Anhand des Shell Workarount und Frankys Script habe ich begonnen einen Workaround über REST-API zu bauen. Was m.E. nicht den Support sprengen sollte.
Ich bin allerdings nicht weit gekommen, da momentan meine Programmierkenntnisse, die Testumgebung und benötigte Zeit unzureichend sind :-)
Wenn jemand hier weiter machen will, kann ich gerne meinen Ansatz per PM zukommen lassen.
Gruß Nathan
Kommt eh mit 9.5 im Sommer built-in :)
Also in 2 Renewal Durchläufen mittels Workaround :D