Website-Icon Frankys Web

Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren

Frank Zöchling

Die Sophos UTM kann mittlerweile automatisch Zertifikate von Let’s Encrypt anfordern und auch erneuern. Diese Funktion ist gerade für die Webserver Protection (WAF) sehr nützlich. Das Zertifikat für die verschiedenen Services der WAF wird somit durch die UTM verwaltet und vor Ablauf entsprechend erneuert.

Ich habe bereits mehrere Anfragen von Leuten bekommen die gerne das Zertifikat der WAF auch für weitere interne Dienste nutzen möchten. Die meisten Anfragen beziehen sich dabei natürlich auf Exchange Server. Die Exchange URLs wurden mit dem gleichen Hostnamen konfiguriert, somit wäre auch das Zertifikat der WAF auch  auf dem internen Exchange Server gültig. Hier ein Beispiel der Exchange Konfiguration:

Die UTM Webserver Protection ist in diesem Fall ebenfalls auf den Hostnamen “mail.frankysweb.de” konfiguriert:

Verbindungen aus dem Internet werden mittels Sophos UTM WAF zum Exchange Server geleitet. Intern wird mittels DNS Split Brain direkt die IP des Exchange Servers aufgelöst. In diesem Fall ist es möglich das Zertifikat der Sophos WAF auch für Exchange (oder andere Dienste) zu nutzen.

Damit das Let’s Encrypt Zertifikat der UTM für andere Dienste verwendet werden kann, muss es zunächst von der UTM exportiert werden. Manuell ist dies per GUI möglich:

Let’s Encrypt Zertifikate haben allerdings nur eine Gültigkeit von 90 Tagen, daher ist der manuelle Export von der UTM und der Import auf den jeweiligen internen Zielsystemen meist kein praktikabler Weg. Mittels der Sophos REST API und einem kleinen Script lässt sich dieser Vorgang jedoch automatisieren.

Hier mal ein kleines Beispiel für ein PowerShell Script, welches via Sophos REST API ein Zertifikat abholt und in eine PFX Datei umwandelt (siehe Erklärung des Scripts weiter unten):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
param(
    [Parameter(Position=0, Mandatory=$true)]
        $UTMAddress = "utm.domain.local",
    [Parameter(Position=1, Mandatory=$true)]
        [string]$UTMApiToken = "xxXXxxXXxxXXxxXX",
    [Parameter(Position=2, Mandatory=$true)]
        [string]$CertREF = "REF_0815abcd",
    [Parameter(Position=3, Mandatory=$false)]
        [string]$OpenSSLPath = "C:\Program Files (x86)\OpenSSL\bin\openssl.exe",
    [Parameter(Position=4, Mandatory=$false)]
        [string]$PFXFilePath = $PSScriptRoot
    )
#Set TLS Settings (Only TSLv1.1 and TLSv1.2)
[System.Net.ServicePointManager]::SecurityProtocol = @("Tls12","Tls11","Tls")
#Build Credentials
$securePassword = ConvertTo-SecureString $UTMApiToken -AsPlainText -Force
$credential = New-Object System.Management.Automation.PSCredential("token", $securePassword)
#UTM API Call to get certificate and private key
$UTMAPICall = "https://$UTMAddress" + ":4444/api/objects/ca/host_key_cert/$CertREF"
try
    {
        $UTMCertResponse = Invoke-RestMethod -Method GET -Uri $UTMAPICall -Credential $credential
    }
catch
    {
        write-error "Error getting certificate from UTM"
        exit
    }
#Write private key and certificate to temp files
try
    {
        $TempCertFile = "$env:temp\" + $CertREF + ".cer"
        $TempKeyFile = "$env:temp\" $CertREF + ".key"
        $UTMCertResponse.certificate | set-content $TempCertFile
        $UTMCertResponse.key | set-content $TempKeyFile
    }
catch
    {
        write-error "Error writing temp files"
        exit
    }
    
#Build PFX File from certificate and key
try
    {
        $PFXFileNameAndPath = "$PFXFilePath" + "\" + "$CertREF" + ".pfx"
        . $OpenSSLPath pkcs12 -export -in $TempCertFile -inkey $TempKeyFile -out $PFXFileNameAndPath -password pass:$UTMApiToken
        remove-item $TempCertFile -force
        remove-item $TempKeyFile -force
    }
catch
    {
        write-error "Error building PFX File"
    }

Das Script erfordert ein paar Parameter damit es funktioniert. Der Parameter “UTMAddress” dürfte klar sein. Die Verbindung zur REST Api funktioniert via API Token (UTMApiToken), das Token kann im WebAdmin der UTM erstellt werden:

Damit das entsprechende Zertifikat von der UTM abgeholt werden kann, ist die REF ID des Zertifikats nötig. Die REF ID lässt sich beispielsweise dem Live Log “Let’s Encrypt” entnehmen:

Der folgende Eintrag aus dem Live Log zeigt einen Erneuerung Vorgang und die entsprechende REF ID der Zertifikats (blauer Kasten):

Die Sophos REST API liefert den privaten Schlüssel und das Zertifikat. Damit Windows Systeme etwas damit anfangen können, erzeugt dieses Beispiel Script eine PFX-Datei. Die Konvertierung in das PKCS12 Format (PFX-Datei) wird mittels OpenSSL durchgeführt. OpenSSL muss daher auf dem Rechner vorhanden sein und der entsprechende Pfad zur EXE übergeben werden (OpenSSLPath). OpenSSL für Windows kann hier runtergeladen werden:

Die PFX Datei kann wiederum auf Windows Zielsystemen importiert werden und beispielsweise für Exchange und IIS Server genutzt werden.

Mit dem Parameter PFXFilePath kann der Pfad für das exportierte Zertifikat im PKCS12 Format angegeben werden. Das Passwort für die PFX Datei entspricht dem UTMApiToken.

Hier mal ein Beispiel für den Aufruf des Scripts:

Der Import oder das Zuweisen des Zertifikats an das Zielsystem ist nicht Bestandteil dieses Scripts. Mit ein wenig PowerShell KnowHow ist das Script aber einfach zu erweitern.

Wenn Interesse an einem automatisierten Export und Import für Exchange Server besteht, dann bitte einen kurzen Kommentar hinterlassen.

Hinweis 15.07.19: Eine Version für Export und Import für WAF und Exchange Server findet sich hier:

Sophos UTM: Zertifikat der WAF mittels PowerShell exportieren (Exchange Version)

Die mobile Version verlassen