Как да инсталирате второстепенен сертификат за инспектиране на HTTPS трафик?

Тази статия описва стъпките генериране, подписване и инсталиране на второстепенен сертификат (CA) за проверка на HTTPS трафик.

Отнася се за следните продукти и версии на Sophos:  
Sophos Firewall 

 

Създаване на заявка за подписване на сертификат (CSR)

Влезте в Certificates > Certificates и кликнете върху Add

 

Изберете Generate Certificate Signing Request (CSR) и съответно попълнете необходимата информация в полетата. 

 

Изтеглете новосъздадената заявка (CSR)

 

Изтегленият от вас CSR пакет трябва да включва:  

  • CSR заявка във формат .csr 

  • Частен ключ във формат .key. 

  • Парола във формат .txt.

 

Влезте в CSR 

Влезте в сървъра за сертификати на Microsoft на https: // <IP_address> / certsrv и изберете Request a Certificate.  

 

Изберете Advanced certificate request.

 

Отворете CSR файла и копирайте цялото съдържание без допълнителни редове. Изберете Subordinate Certificate Authority като шаблон.  

 

Изтеглете сертификата в кодиран DER формат.

 

Изтегленият сертификат изглежда така: certnew.cer

Промяна на подписаният сертификат 

OpenSSL е полезен инструмент за конвертиране на сертификат. Отворете командния прозорец Shell и въведете следната команда OpenSSL, за да конвертирате * .cer файла във * .pem файл.  

OpenSSL x509 -inform DER -in certnew.cer -out proxy.pem 

 

Качете подписания сертификат в защитната стена на Sophos

Отидете в Certificates > Certificates Authorities и изберете Add, за да качите новосъздадения * .pem файл. Частният ключ и паролата са файловете, които изтеглихте по-рано при генериране на CSR.

 

След като бъде качен, подписаният сертификат трябва да се покаже в раздела Certificates Authorities.

 

Качете основния сертификат в защитната стена на Sophos

За да използвате подписания сертификат, който качихте, трябва да добавите и неговия основен сертификат към защитната стена на Sophos. Ако нямате основния файл на сертификата, можете да го експортирате от всеки клиент, включил се към домейна, или директно от сървъра на сертификата (CA).

В примера по-долу основният сертификат се експортира от СА сървъра.  

 

Отидете в Certificates > Certificates Authorities и изберете Add да качите експортирания основен сертификат.  

 

След като бъде качен, основният сертификат трябва да се покаже в раздела Certificates Authorities.

 

Конфигуриране на HTTPS сканирането

Отидете в Web > General Settings и под секцията HTTPS Decryption and Scanning, задайте HTTPS Scanning Certificate Authority (CA) на подписания второстепенен сертификат.

 

Отидете във Firewall, за да редактирате правилото за контрол на трафика и да активирате Decrypt & Scan HTTPS в раздел Web Malware and Content Scanning

 

Резултати 

Когато сърфирате в Интернет, можете да виждате цялата верига от сертификати в уеб браузъра.

 

 

 

Ръководството на английски език: Sophos XG Firewall: How to install a subordinate certificate authority (CA) for HTTPS inspection

 

Свързани материали