Habilitar Inspección TLS en la nube de Cato requiere que el certificado raíz de Cato sea instalado como un certificado de confianza en cada dispositivo Cliente, permitiendo a la nube de Cato inspeccionar el tráfico cifrado y mostrar páginas de bloqueo HTTPS sin advertencias del navegador.
El certificado raíz de Cato debe ser instalado como un certificado de confianza en cada dispositivo Cliente que se conecta a la nube Cato. La instalación del certificado de Cato es obligatoria para la Inspección TLS y permite que la nube Cato inspeccione el tráfico hacia y desde el dispositivo.
Recomendamos que este sea uno de los primeros pasos en cualquier despliegue de Cato. Sirve para los siguientes propósitos:
-
Inspección TLS: Cuando la Inspección TLS está activada, el certificado raíz de Cato se presenta al cliente como el emisor de cada certificado de sitio web HTTPS. Los navegadores web no confían en el certificado de Cato por defecto, y el navegador mostrará una advertencia de certificado cuando un usuario visite un sitio web HTTPS sin el certificado de Cato instalado. La Inspección TLS es transparente para el usuario final si el certificado de Cato está instalado.
-
Mostrar páginas de bloqueo HTTPS: Si el tráfico TLS está bloqueado por filtrado de URL o reglas de cortafuegos de Internet, el certificado de Cato permite acceso a la página de bloqueo de Cato. No necesita habilitar la Inspección TLS para bloquear el acceso a sitios web HTTPS. Sin embargo, los usuarios verán una advertencia de certificado en lugar de la página de bloqueo si el certificado de Cato no está instalado en su computadora.
El proceso para instalar el certificado es diferente para cada sistema operativo:
-
Para los Clientes Windows, el certificado de Cato se añade automáticamente al almacén de certificados de Windows y es compatible con los navegadores Chrome y Edge.
Puede instalar manualmente el certificado de Cato para otros navegadores (como Firefox), usar un Objeto de Política de Grupo (GPO) de Active Directory, o usar un MDM para instalarlo con el navegador, ver Instalación del Certificado de Cato en Dispositivos Windows
-
Para los Clientes macOS, para organizaciones que usan un MDM, el certificado de Cato se instala automáticamente como parte de la cadena de claves CA.
De lo contrario, el usuario SDP instala manualmente el certificado de Cato. Para más información, consulte Instalación del Certificado de Cato en Dispositivos macOS.
-
Para los Clientes iOS y Android, el usuario SDP instala manualmente el Cliente o utiliza un MDM para instalar el certificado con el Cliente. Para más información, consulte Instalación del Certificado de Cato en Dispositivos iOS o Instalación del Certificado de Cato en Dispositivos Android.
-
Los archivos de instalación del Cliente y el certificado de Cato pueden descargarse desde:
-
El portal de descarga del Cliente en formato CER
-
La página Seguridad > Gestión de Certificados en formatos PEM y DER
-
Microsoft recomienda bloquear el acceso a internet para los controladores de dominio. Realice los pasos 1-3 a continuación en una computadora que no sea un Controlador de Dominio.
Para instalar el certificado raíz de Cato en computadoras Windows con GPO:
-
Desde el menú de navegación, haga clic en Seguridad > Gestión de Certificados.
-
Desde el menú Acciones al final de la fila del certificado, seleccione Descargar DER y guarde el archivo con el certificado de Cato.
-
Transfiera el archivo de certificado a un Controlador de Dominio.
-
En el Controlador de Dominio, vaya a Herramientas Administrativas y luego abra Gestión de Política de Grupo.
-
Haga clic derecho en el dominio de nivel superior y luego seleccione Crear un GPO en este dominio, y enlazarlo aquí….
Nota: Si desea usar un GPO existente, pase al paso 8.
-
Introduzca un nombre para el GPO y haga clic en OK.
-
Haga clic derecho en el GPO creado en el paso anterior o en el GPO existente y seleccione Editar….
-
Abra Configuración del Computador > Políticas > Configuración de Windows > Configuración de Seguridad > Configuración de Claves Públicas, haga clic derecho en la carpeta de Autoridades Certificadoras Raíz Confiables, y luego seleccione Importar….
-
Haga clic en Siguiente en la ventana Bienvenido al Asistente para Importación de Certificados.
-
En la ventana Archivo a Importar, haga clic en Explorar…, seleccione el certificado de Cato que descargó en el paso 3, y luego haga clic en Abrir.
-
Haga clic en Siguiente y asegúrese de que Colocar todos los certificados en el siguiente almacén está seleccionado y el almacén de certificados mostrado es Autoridades Certificadoras Raíz Confiables.
-
Haga clic en Siguiente. Verifique que toda la información sea correcta y haga clic en Finalizar.
La ventana indica, La importación fue exitosa.
-
Haga clic en OK.
Cato se alinea con prácticas PKI estándares de la industria al depender de la Base de Datos Común CA (CCADB) para la gestión de certificados raíz públicos. CCADB es mantenida conjuntamente por proveedores líderes (Mozilla, Microsoft y Google), y representa la tienda de confianza CA autorizadora para certificados raíz TLS.
Esto reemplaza el método anterior, donde Cato combinaba la tienda CA de Mozilla con un repositorio interno de certificados y obtenía certificados faltantes de manera ad-hoc, un enfoque reactivo con ineficiencias potenciales. La tienda basada en CCADB reduce la probabilidad de certificados faltantes y asegura la conformidad con las mejores prácticas modernas de TLS.
Nuestro equipo de I+D validó exhaustivamente CCADB, confirmando que los certificados faltantes previamente reportados por los clientes estaban presentes en la base de datos CCADB antes de la migración.
En casos raros, por ejemplo, cuando una CA raíz emite un nuevo certificado que aún no se ha propagado en CCADB o en nuestro ciclo de sincronización periódica, el certificado puede estar aún faltante en la tienda Cato. Si eso ocurre, por favor comparta los siguientes detalles con el soporte de Cato para una resolución rápida:
-
Número de serie del certificado, fechas de validez, emisor, y Nombre Común o Nombre Alternativo del Asunto (SAN)
-
Huella digital SHA-256 del certificado
-
El archivo de certificado en formato .CER
Puede obtener detalles del certificado a través de su navegador (usando el icono de candado) o a través de su gestor de certificados del SO (por ejemplo, en Windows: Inicio → escriba certmgr.msc → localice el certificado).
Una vez validada por nuestro equipo de seguridad, la CA será añadida primero a nuestro entorno de desarrollo y luego desplegada globalmente a todas las PoPs.
Si se da cuenta de un certificado CA nuevo o poco común que está siendo usado por su organización, compártalo proactivamente con su representante de Cato. Esto ayuda a evitar problemas de conectividad relacionados con TLS o la necesidad de agregar reglas temporales de omisión de TLS.
0 comentarios
Inicie sesión para dejar un comentario.