Im Logfile des PULSE Secure Gateways tauchen Meldungen auf, dass irgendwelche Zertifikate abgelaufen sind.
ZERTIFIKAT is about to expire within 60 days.
Es handelt sich um die Zertifikate der Trusted Server CAs.
Wenn diese CA’s nicht verwendet werden, würde ich keine Aktualisierung machen und die abgelaufenen Zertifikate löschen. Das kann man herausfinden, in dem geprüft wird, ob der Client SSL Zertifikatswarnung erhält, wenn er sich entweder zu Juniper MAG verbindet oder die externen Ressourcen über die Juniper aufruft.
Normalerweise werden nur einige bekannte RootCA’s in der Produktivumgebung (z.B. Verisign, Symantec, Thawte, GoDaddy etc.) verwendet. Wichtig ist vor allem von welcher CA das öffentliche Zertifikat von Juniper ausgestellt wurde. Diese muss natürlich vorhanden sein. Alles andere, wenn der Anwender nicht über MAG im Internet surft, werden die CA’s nicht verwendet und stellen sogar ein gewisses Sicherheitsrisiko dar.
Diese Trusted Server CA’s auf der Juniper sind vergleichbar mit Microsoft vertrauenswürdigen Stammzertifikate. Wenn im Unternehmen eine selektive Liste der vertrauenswürdigen CA’s existiert und nur diese im Browser Stamm CA’s vorhanden sein darf, dann ist es zu empfehlen auf der Juniper die gleichen Zertifikate zu importieren.