Как да инсталирате второстепенен сертификат за инспектиране на HTTPS трафик?
Тази статия описва стъпките генериране, подписване и инсталиране на второстепенен сертификат (CA) за проверка на HTTPS трафик.
Отнася се за следните продукти и версии на Sophos:
Sophos Firewall
Създаване на заявка за подписване на сертификат (CSR)
Влезте в Certificates > Certificates и кликнете върху Add.
Изберете Generate Certificate Signing Request (CSR) и съответно попълнете необходимата информация в полетата.
Изтеглете новосъздадената заявка (CSR)
Изтегленият от вас CSR пакет трябва да включва:
CSR заявка във формат .csr
Частен ключ във формат .key.
Парола във формат .txt.
Влезте в CSR
Влезте в сървъра за сертификати на Microsoft на https: // <IP_address> / certsrv и изберете Request a Certificate.
Изберете Advanced certificate request.
Отворете CSR файла и копирайте цялото съдържание без допълнителни редове. Изберете Subordinate Certificate Authority като шаблон.
Изтеглете сертификата в кодиран DER формат.
Изтегленият сертификат изглежда така: certnew.cer
Промяна на подписаният сертификат
OpenSSL е полезен инструмент за конвертиране на сертификат. Отворете командния прозорец Shell и въведете следната команда OpenSSL, за да конвертирате * .cer файла във * .pem файл.
OpenSSL x509 -inform DER -in certnew.cer -out proxy.pem
Качете подписания сертификат в защитната стена на Sophos
Отидете в Certificates > Certificates Authorities и изберете Add, за да качите новосъздадения * .pem файл. Частният ключ и паролата са файловете, които изтеглихте по-рано при генериране на CSR.
След като бъде качен, подписаният сертификат трябва да се покаже в раздела Certificates Authorities.
Качете основния сертификат в защитната стена на Sophos
За да използвате подписания сертификат, който качихте, трябва да добавите и неговия основен сертификат към защитната стена на Sophos. Ако нямате основния файл на сертификата, можете да го експортирате от всеки клиент, включил се към домейна, или директно от сървъра на сертификата (CA).
В примера по-долу основният сертификат се експортира от СА сървъра.
Отидете в Certificates > Certificates Authorities и изберете Add да качите експортирания основен сертификат.
След като бъде качен, основният сертификат трябва да се покаже в раздела Certificates Authorities.
Конфигуриране на HTTPS сканирането
Отидете в Web > General Settings и под секцията HTTPS Decryption and Scanning, задайте HTTPS Scanning Certificate Authority (CA) на подписания второстепенен сертификат.
Отидете във Firewall, за да редактирате правилото за контрол на трафика и да активирате Decrypt & Scan HTTPS в раздел Web Malware and Content Scanning.
Резултати
Когато сърфирате в Интернет, можете да виждате цялата верига от сертификати в уеб браузъра.
Ръководството на английски език: Sophos XG Firewall: How to install a subordinate certificate authority (CA) for HTTPS inspection