Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren (Exchange Version)

In diesem Artikel hatte ich ja bereits beschrieben, wie das Zertifikat der Sophos UTM per REST API exportiert werden kann. Ein paar Leute haben sich nun gemeldet, dass eine automatischer Export und Import für Exchange Server interessant ist. Ich habe daher das Script erweitert und den Export und Import mit Exchange Server 2016 erfolgreich getestet.

Hier einmal die angepasste Version für den automatischen Import für Exchange Server 2016:

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

#Requires -RunAsAdministrator
param(
    [Parameter(Position=0, Mandatory=$true)]
        $UTMAddress = "utm.domain.local",
    [Parameter(Position=1, Mandatory=$true)]
        [string]$UTMApiToken = "xxXXxxXXxxXXxxXX",
    [Parameter(Position=2, Mandatory=$true)]
        [string]$CertREF = "REF_0815abcd",
    [Parameter(Position=3, Mandatory=$false)]
        [string]$OpenSSLPath = "C:\Program Files (x86)\OpenSSL\bin\openssl.exe",
    [Parameter(Position=4, Mandatory=$false)]
        [string]$PFXFilePath = $PSScriptRoot
    )
#Set TLS Settings (Only TSLv1.1 and TLSv1.2)
try
    {
        write-warning "Changing PowerShell TLS settings"
        [System.Net.ServicePointManager]::SecurityProtocol = @("Tls12","Tls11","Tls")
    }
catch
    {
        write-error "Can't change PowerShell TLS settings: $Error[0]"
    }
#Build Credentials
try
    {
        Write-Warning "Building UTM Rest API Creds"
        $securePassword = ConvertTo-SecureString $UTMApiToken -AsPlainText -Force
        $credential = New-Object System.Management.Automation.PSCredential("token", $securePassword)
    }
catch
    {
        write-error "Error building UTM creds: $Error[0]"
        exit
    }
#UTM API Call to get certificate and private key
try
    {
        Write-Warning "Getting Cert from UTM REST API"
        $UTMAPICall = "https://$UTMAddress" + ":4444/api/objects/ca/host_key_cert/$CertREF"
        $UTMCertResponse = Invoke-RestMethod -Method GET -Uri $UTMAPICall -Credential $credential
    }
catch
    {
        write-error "Error getting certificate from UTM: $Error[0]"
        exit
    }
#Write private key and certificate to temp files
try
    {
        Write-Warning "Writing cert TMP files"
        $TempCertFile = "$env:temp\" + $CertREF + ".cer"
        $TempKeyFile = "$env:temp\" +  $CertREF + ".key"
        $UTMCertResponse.certificate | set-content $TempCertFile
        $UTMCertResponse.key | set-content $TempKeyFile
    }
catch
    {
        write-error "Error writing temp files: $Error[0]"
        exit
    }
    
#Build PFX File from certificate and key
try
    {
        Write-Warning "Convert UTM Cert and Key to PKCS12"
        $PFXFileNameAndPath = "$PFXFilePath" + "\" + "$CertREF" + ".pfx"
        . $OpenSSLPath pkcs12 -export -in $TempCertFile -inkey $TempKeyFile -out $PFXFileNameAndPath -password pass:$UTMApiToken
        remove-item $TempCertFile -force
        remove-item $TempKeyFile -force
    }
catch
    {
        write-error "Error building PFX File: $Error[0]"
    }
#Get UTM certs serial number
try
    {
        $UTMCertSerial = $UTMCertResponse.certificate.split(" ")[35].ToUpper().Replace(":","").Trim()
        Write-Warning "UTM Cert Serial: $UTMCertSerial"
    }
catch
    {
        write-error "Can't find serial number of UTMs certificate: $Error[0]"
        exit
    }
    
#Get current Exchange Server certificate
try
    {
        write-warning "Get current Exchange Server Certificate"
        Import-Module -Name WebAdministration
        Add-PSSnapin Microsoft.Exchange*
        $AllIISCerts = Get-ChildItem IIS:SSLBindings
        foreach ($IISCert in $AllIISCerts)
         {
          if ($IISCert.sites.value -match "Default Web Site") {$IISThumbprint = $IISCert.Thumbprint}
         }
        $CurrentExchangeCert = Get-ExchangeCertificate -Thumbprint $IISThumbprint
        $CurrentExchangeCertSerial = $CurrentExchangeCert.SerialNumber
        write-warning "Exchange Cert Serial: $CurrentExchangeCertSerial"
    }
catch
    {
        write-error "Can't find current Exchange certificate: $Error[0]"
        exit
    }
    
#Test if current Exchange Cert matches UTM Cert
try
    {
        if ($CurrentExchangeCertSerial -eq $UTMCertSerial)
         {
            Write-Warning "Exchange certificate matches UTM certificate: Nothing to do!"
            $ExchangeCertChangeRequierd = $false
         }
        else
         {
            write-warning "UTM Cert dosen't match Exchange certificate!"
            $ExchangeCertChangeRequierd = $true
         }
    }
catch
    {
        write-error "Don't know if cert change is requierd: $Error[0]"
        exit
    }
#If needed: lets try to change the Exchange Server certificate
if ($ExchangeCertChangeRequierd -eq $true)
    {
     try
        {
            Write-Warning "Let's try to change the certificate"
            $CertFilePath = "\\" + $env:computername + "\" + $PFXFileNameAndPath.Replace(":","$")
            $ImportCert = Import-ExchangeCertificate -FileName $CertFilePath -Password $securePassword -PrivateKeyExportable:$true -FriendlyName "$CertREF"
            $EnableCert = Get-ExchangeCertificate | where {$_.SerialNumber -eq $UTMCertSerial} | Enable-ExchangeCertificate -Services POP,IMAP,SMTP,IIS -force
            $ChangeSuccessfull = $true
            write-warning "Change Sucessfull: $ChangeSuccessfull"
        }
     catch
        {
            write-error "Can't change certificate: $Error[0]"
            exit
        }
    }
if ($ExchangeCertChangeRequierd -eq $false)
    {
     Write-Information "No certificate change needed"
     exit
    }
    
#Remove the old Exchange server certificate if change was successfull
if ($ChangeSuccessfull -eq $true)
    {
     try
        {
            Write-Warning "Removing old certificate"
            $RemoveCert = Remove-ExchangeCertificate -Thumbprint $IISThumbprint -Confirm:$false
        }
    catch
        {
            write-error "Can't remove old certificate: $Error[0]"
            exit
        }
    }
   

Das Script kann auch hier direkt als PS1 Datei runtergeladen werden:

Get-SophosUTMCertificate

1 file(s) 1.80 KB

Download

Dieses Script kann direkt auf dem Exchange Server ausgeführt werden. Wichtig ist, dass das Script mit Administrator Rechten gestartet wird. Natürlich muss der Benutzer auch entsprechende Exchange Berechtigungen haben um das Zertifikat zuzuweisen.

Das Script kann wie folgt aufgerufen werden:

.\Get-SophosUTMCertificate.ps1 -UTMAddress utm.domain.local -UTMApiToken "UTMRESTAPIKEY" -CertREF "REF_XXXXXXXX" -OpenSSLPath "C:\Program Files (x86)\OpenSSL\bin\openssl.exe"

Hier einmal zwei Durchläufe des Scripts. Beim ersten Durchlauf wurde festgestellt, dass sich das Zertifikat der UTM und des Exchange Servers unterscheiden, daher wurde das Zertifikat der UTM auf dem Exchange Server eingespielt. Beim zweiten Aufruf entspricht das UTM Zertifikat dem Exchange Zertifikat, es muss also nicht wieder ausgetauscht werden:

Das Script lässt sich als Task in der Aufgabenplanung anlegen und beispielsweise einmal täglich ausführen. Wenn die UTM nun das Let’s Encrypt Zertifikat erneuert, wird mit maximal einen Tag Verzögerung auch das Exchange Zertifikat ausgetauscht.

Ein Kommentar zu “Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren (Exchange Version)”

Alexander sagt:

12. Juni 2019 um 14:39

Recht vielen Dank dafür. Skript läuft super, wollen mal schauen, ob der Wechsel in 2 Monaten noch klappt.

Antworten

Frankys Web

Microsoft Exchange und Active Directory Blog