In onze organisatie staat een appliance dat HTTPS verbindingen accepteert en gebruik maakt van een SSL certificaat. Een aantal van onze klanten maakt gebruik van een Internetverbinding via een grote organisatie die een soort "gesloten" Internet aanbiedt (een extern WAN, vergelijkbaar met AT&T Exchange). Aan onze kant is hierop een router en VPN link aangelegd naar dit WAN.
De appliance is met zijn 2e netwerkpoort aangesloten op de router (via een switch). De computers van die klanten gebruiken een aparte DNS server, waarbij de hostname van de appliance resolved naar het interne IP adres van die appliance (dus dat die verbinding over die WAN verbinding loopt i.p.v. het publieke Internet). Echter krijgen al die computers (zijn allemaal iMac's) bij het verbinden een certificaat error. Bij nader onderzoek lijkt dit dus om een Hostname Mismatch te gaan. Ik heb gecontroleerd dat de computers daadwerkelijk op naam verbinden, en deze naam komt ook overeen met de naam (CN) die in het certificaat staat.
Om te controleren of dit door de appliance wordt veroorzaakt, heb ik een Macbook (om zeker te weten dat ik hetzelfde OS gebruik voor troubleshooting) aangesloten op de switch waar ook de appliance op is aangesloten en vervolgens een verbinding gemaakt. Dit ging zonder problemen, en het certificaat was in orde. Er lijkt dus iets mis te gaan in dat WAN.
Ik had het vermoeden dat er misschien een reverse proxy actief was in dat netwerk, maar het certificaat dat ik zie op die computers is daadwerkelijk het certificaat dat van de appliance afkomstig is. Tevens zegt de beheerder van het WAN dat zij geen proxies gebruiken.
Zie onderstaande tekening:
Heeft iemand enig idee waar dit door zou komen? Een tijdelijke workaround is het handmatig trusten van het certificaat op alle computers die aan het WAN zijn aangesloten.
De appliance is met zijn 2e netwerkpoort aangesloten op de router (via een switch). De computers van die klanten gebruiken een aparte DNS server, waarbij de hostname van de appliance resolved naar het interne IP adres van die appliance (dus dat die verbinding over die WAN verbinding loopt i.p.v. het publieke Internet). Echter krijgen al die computers (zijn allemaal iMac's) bij het verbinden een certificaat error. Bij nader onderzoek lijkt dit dus om een Hostname Mismatch te gaan. Ik heb gecontroleerd dat de computers daadwerkelijk op naam verbinden, en deze naam komt ook overeen met de naam (CN) die in het certificaat staat.
Om te controleren of dit door de appliance wordt veroorzaakt, heb ik een Macbook (om zeker te weten dat ik hetzelfde OS gebruik voor troubleshooting) aangesloten op de switch waar ook de appliance op is aangesloten en vervolgens een verbinding gemaakt. Dit ging zonder problemen, en het certificaat was in orde. Er lijkt dus iets mis te gaan in dat WAN.
Ik had het vermoeden dat er misschien een reverse proxy actief was in dat netwerk, maar het certificaat dat ik zie op die computers is daadwerkelijk het certificaat dat van de appliance afkomstig is. Tevens zegt de beheerder van het WAN dat zij geen proxies gebruiken.
Zie onderstaande tekening:
Heeft iemand enig idee waar dit door zou komen? Een tijdelijke workaround is het handmatig trusten van het certificaat op alle computers die aan het WAN zijn aangesloten.
/u/38159/DirkJan.png?f=community)
/u/22562/24.png?f=community)