Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren

Die Sophos UTM kann mittlerweile automatisch Zertifikate von Let’s Encrypt anfordern und auch erneuern. Diese Funktion ist gerade für die Webserver Protection (WAF) sehr nützlich. Das Zertifikat für die verschiedenen Services der WAF wird somit durch die UTM verwaltet und vor Ablauf entsprechend erneuert.

Ich habe bereits mehrere Anfragen von Leuten bekommen die gerne das Zertifikat der WAF auch für weitere interne Dienste nutzen möchten. Die meisten Anfragen beziehen sich dabei natürlich auf Exchange Server. Die Exchange URLs wurden mit dem gleichen Hostnamen konfiguriert, somit wäre auch das Zertifikat der WAF auch  auf dem internen Exchange Server gültig. Hier ein Beispiel der Exchange Konfiguration:

Exchange Konfiguration

Die UTM Webserver Protection ist in diesem Fall ebenfalls auf den Hostnamen “mail.frankysweb.de” konfiguriert:

image

Verbindungen aus dem Internet werden mittels Sophos UTM WAF zum Exchange Server geleitet. Intern wird mittels DNS Split Brain direkt die IP des Exchange Servers aufgelöst. In diesem Fall ist es möglich das Zertifikat der Sophos WAF auch für Exchange (oder andere Dienste) zu nutzen.

Damit das Let’s Encrypt Zertifikat der UTM für andere Dienste verwendet werden kann, muss es zunächst von der UTM exportiert werden. Manuell ist dies per GUI möglich:

Manueller Export des WAF Zertifikats

Let’s Encrypt Zertifikate haben allerdings nur eine Gültigkeit von 90 Tagen, daher ist der manuelle Export von der UTM und der Import auf den jeweiligen internen Zielsystemen meist kein praktikabler Weg. Mittels der Sophos REST API und einem kleinen Script lässt sich dieser Vorgang jedoch automatisieren.

Hier mal ein kleines Beispiel für ein PowerShell Script, welches via Sophos REST API ein Zertifikat abholt und in eine PFX Datei umwandelt (siehe Erklärung des Scripts weiter unten):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
param(
    [Parameter(Position=0, Mandatory=$true)]
        $UTMAddress = "utm.domain.local",
    [Parameter(Position=1, Mandatory=$true)]
        [string]$UTMApiToken = "xxXXxxXXxxXXxxXX",
    [Parameter(Position=2, Mandatory=$true)]
        [string]$CertREF = "REF_0815abcd",
    [Parameter(Position=3, Mandatory=$false)]
        [string]$OpenSSLPath = "C:\Program Files (x86)\OpenSSL\bin\openssl.exe",
    [Parameter(Position=4, Mandatory=$false)]
        [string]$PFXFilePath = $PSScriptRoot
    )
#Set TLS Settings (Only TSLv1.1 and TLSv1.2)
[System.Net.ServicePointManager]::SecurityProtocol = @("Tls12","Tls11","Tls")
#Build Credentials
$securePassword = ConvertTo-SecureString $UTMApiToken -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential("token", $securePassword)
#UTM API Call to get certificate and private key
$UTMAPICall = "https://$UTMAddress" + ":4444/api/objects/ca/host_key_cert/$CertREF"
try
    {
        $UTMCertResponse = Invoke-RestMethod -Method GET -Uri $UTMAPICall -Credential $credential
    }
catch
    {
        write-error "Error getting certificate from UTM"
        exit
    }
#Write private key and certificate to temp files
try
    {
        $TempCertFile = "$env:temp\" + $CertREF + ".cer"
        $TempKeyFile = "$env:temp\" $CertREF + ".key"
        $UTMCertResponse.certificate | set-content $TempCertFile
        $UTMCertResponse.key | set-content $TempKeyFile
    }
catch
    {
        write-error "Error writing temp files"
        exit
    }
    
#Build PFX File from certificate and key
try
    {
        $PFXFileNameAndPath = "$PFXFilePath" + "\" + "$CertREF" + ".pfx"
        . $OpenSSLPath pkcs12 -export -in $TempCertFile -inkey $TempKeyFile -out $PFXFileNameAndPath -password pass:$UTMApiToken
        remove-item $TempCertFile -force
        remove-item $TempKeyFile -force
    }
catch
    {
        write-error "Error building PFX File"
    }

Das Script erfordert ein paar Parameter damit es funktioniert. Der Parameter “UTMAddress” dürfte klar sein. Die Verbindung zur REST Api funktioniert via API Token (UTMApiToken), das Token kann im WebAdmin der UTM erstellt werden:

Sophos API Token

Damit das entsprechende Zertifikat von der UTM abgeholt werden kann, ist die REF ID des Zertifikats nötig. Die REF ID lässt sich beispielsweise dem Live Log “Let’s Encrypt” entnehmen:

Sophos Let's Encrypt Live Log

Der folgende Eintrag aus dem Live Log zeigt einen Erneuerung Vorgang und die entsprechende REF ID der Zertifikats (blauer Kasten):

Sophos REF ID

Die Sophos REST API liefert den privaten Schlüssel und das Zertifikat. Damit Windows Systeme etwas damit anfangen können, erzeugt dieses Beispiel Script eine PFX-Datei. Die Konvertierung in das PKCS12 Format (PFX-Datei) wird mittels OpenSSL durchgeführt. OpenSSL muss daher auf dem Rechner vorhanden sein und der entsprechende Pfad zur EXE übergeben werden (OpenSSLPath). OpenSSL für Windows kann hier runtergeladen werden:

Die PFX Datei kann wiederum auf Windows Zielsystemen importiert werden und beispielsweise für Exchange und IIS Server genutzt werden.

Mit dem Parameter PFXFilePath kann der Pfad für das exportierte Zertifikat im PKCS12 Format angegeben werden. Das Passwort für die PFX Datei entspricht dem UTMApiToken.

Hier mal ein Beispiel für den Aufruf des Scripts:

image

Der Import oder das Zuweisen des Zertifikats an das Zielsystem ist nicht Bestandteil dieses Scripts. Mit ein wenig PowerShell KnowHow ist das Script aber einfach zu erweitern.

Wenn Interesse an einem automatisierten Export und Import für Exchange Server besteht, dann bitte einen kurzen Kommentar hinterlassen.

12 Kommentare zu “Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren”

  1. Großes Interesse!

    Vielen Dank schon mal für diesen Teil der Lösung, das ist grandios!

    Viele Grüße, Christoph.

  2. Super, darauf habe ich gewartet! :-)

    Da ich auch eine Sophos UTM habe, könnte ich mir mit automatisierten Let’s Encrypt Zertifikats-Export und Import mein Exchange-Kauf-Zertifikat sparen…

  3. Das sieht sehr spannend aus und würde die Kombination UTM und Exchange perfekt ergänzen.
    Mit automatischem Import in Exchange wäre es ziemlich klasse.

  4. ok, kann man vielleciht mit der Rest API der XG ein Zertifikat austauschen?
    Let’s Encrpyt läuft bei mir bereits auf IIS, es muss nur immer das Zertifikat in der XG geändert werden.

  5. Hat jemand eine Idee warum ich folgenden Fehler erhalte?
    15876:error:0909006C:PEM routines:get_name:no start line:crypto\pem\pem_lib.c:745:Expecting: ANY PRIVATE KEY
    Beste Grüße
    Alex

  6. Der Vollständigkeit wegen, im temporären Pfad (Skript Zeile 32+33) wird eine cer Datei und eine key Datei erstellt. Die Key Datei ist bei mir jeweils 0 Byte groß, auch bei verschiedenen LE-Zertifikaten. Die cer-Datei rund 8KB und enthält auch das korrekte Zertifikat.

  7. Manchmal sind die Lösungen einfach, zu geringes Recht des auslesenden Benutzers. Somit läuft das Skript perfekt.
    Sorry, aber manchmal dauert’s halt etwas. Ist auch recht warm heut :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.