Solución de Problemas de Inspección TLS para Claude Código

Problema

Cuando la Inspección TLS de Cato está activada, Cato presenta su propio certificado raíz/intermedio como el emisor para las sesiones TLS inspeccionadas, permitiendo la desencriptación y seguridad. La mayoría de las aplicaciones empresariales dependen del almacén de confianza del sistema operativo o navegador, por lo que una vez que el Certificado Raíz de Cato está instalado allí, continúan funcionando de manera transparente. 

Sin embargo, algunas herramientas de desarrollo, incluyendo Claude Código, utilizan fijación de certificados o su propia implementación de TLS (por ejemplo, Node.js/OpenSSL) en lugar de confiar solamente en el almacén de confianza del SO. Como resultado, pueden rechazar el certificado emitido por Cato incluso si el sistema operativo lo confía, causando errores TLS (por ejemplo, SELF_SIGNED_CERT_IN_CHAIN) durante la inspección de tráfico.

Entorno

• La Inspección TLS está activada para la cuenta, incluso si Claude es omitido.

• El certificado raíz de Cato está instalado y confiado en el almacén de confianza del Sistema Operativo.

Solución de problemas

• Confirme que el problema está limitado a Claude Código o herramientas de desarrollo similares, no a un problema de red general

• Agregue el certificado raíz de Cato utilizando el mecanismo CA personalizado de la aplicación

Solución

Requisitos previos

• Certificado Raíz de Cato (formato PEM) - Puede descargar el certificado desde aquí - https://clientdownload.catonetworks.com/public/certificates/CatoNetworksTrustedRootCA.cer 

• Ruta del archivo del certificado - Asegúrese de que el certificado esté guardado en una ubicación en su sistema de archivos local accesible y legible por la cuenta de usuario que ejecuta la aplicación.

Instrucciones

Claude Código admite Autoridades de Certificación personalizadas a través de variables de entorno.

Use la variable de entorno NODE_EXTRA_CA_CERTS para dirigir el stack basado en TLS de Claude Código al archivo de certificado raíz de Cato. Asegúrese de que esté establecido de manera global y persistente para que funcione cada vez que el usuario use Claude Desktop, Claude CLI o una extensión de IDE de Claude Código.

Verificación

• Reinicie Claude Código después de configurar la variable de entorno

• Intente una operación de Claude Código que anteriormente fallaba

• Si tiene éxito sin errores TLS mientras la Inspección TLS sigue habilitada, la configuración es correcta

Criterios de Escalación de Soporte

• La variable NODE_EXTRA_CA_CERTS está configurada correctamente y apunta a un archivo PEM válido, pero Claude Código continúa fallando con errores de establecimiento de conexión TLS.
• El entorno requiere una combinación de TLS mutuo (mTLS) y autenticación proxy que va más allá de la configuración estándar de variables de entorno.
• Se necesita asistencia con la implementación o aplicación de configuraciones de variables de entorno en varios usuarios o máquinas a nivel organizacional.