تثبيت شهادة الجذر لتفتيش TLS

لتفعيل تفتيش TLS في سحابة Cato، يجب تثبيت شهادة الجذر لـ Cato كَشهادة موثوقة على كل جهاز عميل، مما يسمح لسحابة Cato بتفتيش حركة المرور المشفرة وعرض صفحات حظر HTTPS دون تحذيرات المتصفح.

تثبيت شهادة الجذر لـ Cato على أجهزة المستخدم النهائي

يجب تثبيت شهادة الجذر لـ Cato كَشهادة موثوقة على كل جهاز عميل يتصل بسحابة Cato. يعد تثبيت شهادة Cato إلزاميًا لتفتيش TLS ويتيح لسحابة Cato تفتيش حركة المرور إلى ومن الجهاز.

نوصي بأن تكون هذه من أوائل الخطوات في أي نشر لسحابة Cato. تخدم الأغراض التالية:

  • تفتيش TLS: عند تفعيل تفتيش TLS، تُقدم شهادة الجذر لـ Cato للعميل كمصدر لشهادة كل موقع HTTPS. لا تثق المتصفحات تلقائيًا بشهادة Cato، وسيعرض المتصفح تحذيرًا بشأن الشهادة عند زيارة المستخدم لموقع HTTPS دون تثبيت شهادة Cato. يكون تفتيش TLS شفافًا للمستخدم النهائي إذا تم تثبيت شهادة Cato.

  • عرض صفحات حظر HTTPS: إذا كانت حركة TLS محجوبة بواسطة تصفية URL أو قواعد جدار الحماية للإنترنت، فإن شهادة Cato تسمح بالوصول إلى صفحة الحظر الخاصة بها. لا تحتاج إلى تفعيل تفتيش TLS لحظر الوصول إلى مواقع HTTPS. ومع ذلك، سيشهد المستخدمون تحذيرًا بشأن الشهادة بدلاً من صفحة الحظر إذا لم يتم تثبيت شهادة Cato على أجهزة الكمبيوتر الخاصة بهم.

تثبيت شهادة الجذر لـ Cato للمستخدم النهائي

تختلف عملية تثبيت الشهادة لكل نظام تشغيل:

  • بالنسبة لعملاء Windows، يتم إضافة شهادة Cato تلقائيًا إلى مخزن شهادات Windows ويدعم متصفحي Chrome وEdge

    يمكنك تثبيت شهادة Cato يدويًا للمتصفحات الأخرى (مثل Firefox)، استخدام كائن سياسة مجموعة Active Directory (GPO)، أو استخدام MDM لتثبيتها مع المتصفح، انظر تثبيت شهادة Cato على أجهزة Windows

  • بالنسبة لعملاء macOS، للمنظمات التي تستخدم MDM، يتم تثبيت شهادة Cato تلقائيًا كجزء من سلسلة المفاتيح CA

    بخلاف ذلك، يقوم المستخدم SDP بتثبيت شهادة Cato يدويًا. لمزيد من المعلومات، انظر تثبيت شهادة Cato على أجهزة macOS.

  • بالنسبة لعملاء iOS وAndroid، يقوم المستخدم SDP بتثبيت العميل يدويًا أو استخدام MDM لتثبيت الشهادة مع العميل. لمزيد من المعلومات، انظر تثبيت شهادة Cato على أجهزة iOS أو تثبيت شهادة Cato على أجهزة Android.

  • يمكن تنزيل ملفات تثبيت العميل وشهادة Cato من:

    • بوابة تحميل العميل بتنسيق CER

    • صفحة > إدارة الشهادات & الأمن< بتنسيق PEM وDER

تثبيت شهادة الجذر لنطاق Windows

توصي Microsoft بحظر الوصول إلى الإنترنت لأجهزة التحكم في النطاقات. نفذ الخطوات 1-3 أدناه على جهاز كمبيوتر آخر غير جهاز تحكم في النطاق.

لتثبيت شهادة الجذر لـ Cato على أجهزة كمبيوتر Windows باستخدام GPO:

  1. من قائمة التنقل، انقر على الأمان > إدارة الشهادات.

  2. من قائمة الإجراءات عند نهاية صف الشهادة، اختر تحميل DER واحفظ الملف مع شهادة Cato.

  3. انقل ملف الشهادة إلى جهاز تحكم في النطاق.

  4. على جهاز تحكم في النطاق، انتقل إلى أدوات إدارية ثم افتح إدارة سياسة المجموعة.

  5. انقر بزر الفأرة الأيمن على نطاق المستوى الأعلى ثم اختر إنشاء GPO في هذا النطاق واربطه هنا....

    ملاحظة: إذا كنت ترغب في استخدام GPO موجود، انتقل إلى الخطوة 8.

    360002921098-image-2.png

  6. أدخل اسمًا لـ GPO وانقر على موافق.

  7. انقر بزر الماوس الأيمن على GPO الذي تم إنشاؤه في الخطوة السابقة أو GPO الموجود واختر تحرير....

    360002921398-image-4.png

  8. افتح إعدادات الكمبيوتر > السياسات > إعدادات Windows > إعدادات الأمان > إعدادات المفتاح العام، انقر بزر الماوس الأيمن على مجلد سلطات التصديق الجذر الموثوق بها، ثم اختر استيراد....

  9. انقر على التالي في نافذةمرحبًا بك في معالج استيراد الشهادات.

  10. في نافذةالملف للاستيراد، انقر على استعراض...، اختر شهادة Cato التي قمت بتحميلها في الخطوة 3، ثم انقر على فتح.

  11. انقر على التالي وتأكد من أن وضع جميع الشهادات في المخزن التالي مختارة وأن مخزن الشهادات المعروض هو سلطات التصديق الجذر الموثوق بها.

    360002921618-image-8.png

  12. انقر على التالي. تحقق من أن جميع المعلومات صحيحة ثم انقر على إنهاء.

    توضح النافذة، تم الاستيراد بنجاح.

  13. انقر على موافق.

فهم إدارة الشهادات

تنسجم Cato مع ممارسات PKI القياسية في الصناعة بالاعتماد على قاعدة بيانات CA المشتركة (CCADB) لإدارة الشهادات الجذرية العامة. يتم الحفاظ على CCADB بشكل مشترك من قبل البائعين الرائدين (مثل Mozilla وMicrosoft وGoogle)، ويمثل مخزن الشهادات الصاالح لموثوقية CA لشهادات الجذر TLS.

هذا يستبدل الطريقة السابقة، حيث قامت Cato بدمج مخزن CA الخاص بـ Mozilla مع مستودع شهادات داخلي وأخذت الشهادات المفقودة عند الحاجة - وهو نهج رد فعلي مع كفاءات ممكنة. يقلل المخزن المعتمد على CCADB من احتمال فقدان الشهادات ويضمن التوافق مع ممارسات TLS الحديثة.

قامت فريق البحث والتطوير الخاص بنا بالتحقق من صحة CCADB بشكل شامل، مؤكدة أن الشهادات التي تم الإبلاغ عن فقدها من قبل العملاء كانت موجودة في قاعدة بيانات CCADB قبل الانتقال.

في حالات نادرة - على سبيل المثال عندما تصدر CA الجذر شهادة جديدة لم تنتشر بعد في CCADB أو في دورة المزامنة الخاصة بنا - قد تظل الشهادة مفقودة في مخزن Cato. إذا حدث ذلك، يرجى مشاركة التفاصيل التالية مع دعم Cato للحصول على حل سريع:

  • رقم تسلسل الشهادة، تواريخ الصلاحية، المصدر، واسم شائع أو اسم بديل للمصدر (SAN)

  • بصمة SHA-256 للشهادة

  • ملف الشهادة بتنسيق .CER

يمكنك الحصول على تفاصيل الشهادة عبر المتصفح الخاص بك (باستخدام رمز القفل) أو عبر مدير الشهادات في نظام التشغيل لديك (على سبيل المثال، في نظام Windows: ابدأ → اكتب certmgr.msc → حدد الشهادة).

بمجرد التحقق من صحتها من قبل فريق الأمان لدينا، سيتم إضافة CA أولاً إلى بيئة التطوير الخاصة بنا ثم نشرها عالميًا على جميع نقاط التواجد.

إذا كنت مدركًا لشهادة CA جديدة أو غير شائعة تستخدمها مؤسستك، فشاركها بشكل استباقي مع ممثل Cato الخاص بك. يساعد هذا في تجنب مشاكل الاتصال المرتبطة بـ TLS أو الحاجة إلى إضافة قواعد تجاوز مؤقتة لـ TLS.

هل كان هذا المقال مفيداً؟

7 من 7 وجدوا هذا مفيداً

لا توجد تعليقات