UCS Update 4.1.4 auf 4.2.5 failed

UCS - Univention Corporate Server
4

Ja, das sieht sehr nach einem transparenten Proxy aus, der sämtliche SSL-Verbindungen man-in-the-middlet, vermutlich um den Verkehr zu scannen. Das Connected to download.kopano.io (37.97.167.49) port 443 zeigt, dass curl denkt, direkt zum Kopano-Server verbunden zu sein (die IP-Adresse stimmt, das ist dieselbe, die ich auch bei mir habe). Trotzdem bekommt curl ein selbst signiertes Zertifikat präsentiert, obwohl der Kopano-Server ein Cert einer bekannten CA verwendet. Hier zum Vergleich meine Ausgabe:

[0 mbunkus@chai-latte ~] curl -4 -v https://download.kopano.io
*   Trying 37.97.167.49:443...
* TCP_NODELAY set
* Connected to download.kopano.io (37.97.167.49) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: /etc/ssl/certs/ca-certificates.crt
  CApath: none
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use http/1.1
* Server certificate:
*  subject: OU=Domain Control Validated; OU=PositiveSSL Wildcard; CN=*.kopano.io
*  start date: Mar 26 00:00:00 2019 GMT
*  expire date: Apr 28 23:59:59 2020 GMT
*  subjectAltName: host "download.kopano.io" matched cert's "*.kopano.io"
*  issuer: C=GB; ST=Greater Manchester; L=Salford; O=Sectigo Limited; CN=Sectigo RSA Domain Validation Secure Server CA
*  SSL certificate verify ok.
…

Clientseitig kann man nicht herausfinden, welche Maschine das macht. Das müssen Sie den Kunden mal fragen.

In dem Moment hat man zwei Optionen:

  1. Man richtet im transparenten Proxy eine Ausnahme für den kompletten UCS-Server ein, sodass Anfragen von dem nicht gescannt werden.
  2. Man besorgt sich das CA-Zertifikat, das der transparente Proxy zum Ausstellen der MitM-Zertifikate verwendet, und richtet das auf dem UCS-Server als vertrauenswürdiges Zertifikat ein. Wie das geht, habe ich u.a. hier beschrieben, auch wenn’s da um ein anderes Thema geht.