Назад | Перейти на главную страницу

Ошибки Continuity247 и Sophos TLS

Два локальных сервера Continuity247 (переименованный в R1Soft, основанный на Ubuntu) находились в двух разных локальных сетях, в которых использовались Cyberoam CR50iNG и Sophos XG 85. Оба работали абсолютно нормально.

Сеть серверов была перенастроена и перенесена в ту же новую локальную сеть, в которой используется Sophos XG 210. С тех пор оба имеют доступ к Интернету (ping, telnet и т.д.), но оба не могут подключиться к облачной системе Continuity247.

Я подтвердил, что Sophos XG 210 не блокирует ничего значимого в брандмауэре и не выполняет перехват HTTPS.

Служба технической поддержки Sophos посоветовала обратиться в службу технической поддержки Continuity247.

Служба технической поддержки Continuity247 пояснила, что Server Backup Manager действительно использует сертификаты для аутентификации, но это не изменилось бы во время миграции, и посоветовал обратиться в службу технической поддержки Sophos.

Выполнение команды wget https://r1rm_prod.itsupport247.net сообщает следующее:

--2017-06-22 10:17:11-- https://r1rm_prod.itsupport247.net/
Resolving r1rm_prod.itsupport247.net (r1rm_prod.itsupport247.net)... 173.193.238.197
Connecting to r1rm_prod.itsupport247.net (r1rm_prod.itsupport247.net)|173.193.238.197|:443... connected.
OpenSSL: error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate
Unable to establish SSL connection.

Выполнение команды openssl s_client -connect r1rm_prod.itsupport247.net:443 сообщает следующее:

depth=0 C = US, ST = Texas, O = R1Soft, OU = ContinuumLLC, CN = r1rm.r1soft.com
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = US, ST = Texas, O = R1Soft, OU = ContinuumLLC, CN = r1rm.r1soft.com
verify error:num=27:certificate not trusted
verify return:1
depth=0 C = US, ST = Texas, O = R1Soft, OU = ContinuumLLC, CN = r1rm.r1soft.com
verify error:num=21:unable to verify the first certificate
verify return:1
139940236781216:error:14094412:SSL routines:SSL3_READ_BYTES:sslv3 alert bad certificate:s3_pkt.c:1262:SSL alert number 42
139940236781216:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:177:
CONNECTED(00000003)
---
Certificate chain
0 s:/C=US/ST=Texas/O=R1Soft/OU=ContinuumLLC/CN=r1rm.r1soft.com
i:/C=US/ST=Texas/L=Houston/O=R1Soft/OU=ContinuumLLC/CN=R1RMRootCA_GA
---
Server certificate
-----BEGIN CERTIFICATE-----
[redacted due to potential sensitivity]
-----END CERTIFICATE-----
subject=/C=US/ST=Texas/O=R1Soft/OU=ContinuumLLC/CN=r1rm.r1soft.com
issuer=/C=US/ST=Texas/L=Houston/O=R1Soft/OU=ContinuumLLC/CN=R1RMRootCA_GA
---
Acceptable client certificate CA names
/C=US/ST=Texas/L=Houston/O=R1Soft/OU=ContinuumLLC/CN=R1RMRootCA_GA
---
SSL handshake has read 1708 bytes and written 162 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1.2
Cipher : ECDHE-RSA-AES256-SHA
Session-ID: 
Session-ID-ctx: 
Master-Key: D4495614F968E3090AAA487E29B8779A155096502CD7158D24D96BEE5951E05C309C6568F6CF1FFC75489BC859BE8CF1
Key-Arg : None
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1498205867
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---

Выполнение другой команды (я не видел, что это было) сообщило следующее:

Jun 23 09:39:06 localhost /opt/r1soft/r1ctl/bin/r1ctl[20025]: 2017/06/23 09:39:06.475657 vbox.go:143: Failed to get live config, using defaults: Get https://r1rm_prod.itsupport247.net:443/liveConfig/a56cc223-e414-4573-910a-5566a6528656: x509: certificate signed by unknown authority

Может ли кто-нибудь помочь дальше?

Проблема с подключением была решена путем обновления микропрограммы Sophos XG с версии 16.05.3 MR-3 до версии 16.05.5 MR-5.

Ошибки OpenSSL никогда не исчезали, так что они, должно быть, были отвлекающим маневром.