Problème
Lorsque l'Inspection TLS de Cato est activée, Cato présente son propre certificat racine/intermédiaire comme l'émetteur des sessions TLS inspectées, permettant le déchiffrement et la sécurité. La plupart des applications d'entreprise s'appuient sur le magasin de confiance du système d'exploitation ou du navigateur, de sorte qu'une fois le certificat racine Cato installé là, elles continuent de fonctionner de manière transparente.
Cependant, certains outils de développement, incluant Claude Code, utilisent la fixation de certificat ou leur propre implémentation TLS (par exemple, Node.js/OpenSSL) plutôt que de s'appuyer uniquement sur le magasin de confiance du système opérationnel. En conséquence, ils peuvent rejeter le certificat émis par Cato même si le système d'exploitation lui fait confiance, entraînant des erreurs TLS (par exemple, SELF_SIGNED_CERT_IN_CHAIN) lors de l'inspection du trafic.
Environnement
L'inspection TLS est activée pour le compte, même si Claude est contourné.
Le certificat racine Cato est installé et approuvé dans le magasin de confiance de l'OS.
Dépannage
Confirmer que le problème est limité à Claude Code ou à des outils de développement similaires, et non à un problème réseau général
Ajouter le certificat racine Cato en utilisant le mécanisme CA personnalisé de l'application
Solution
Conditions préalables
Certificat Racine Cato (format PEM) - Vous pouvez télécharger le certificat depuis ici - https://clientdownload.catonetworks.com/public/certificates/CatoNetworksTrustedRootCA.cer
Chemin du fichier de certificat - Assurez-vous que le certificat est enregistré à un emplacement sur votre système de fichiers local qui est accessible et lisible par le compte utilisateur exécutant l'application.
Instructions
Claude Code prend en charge les autorités de certification personnalisées via des variables d'environnement.
Utilisez la variable d'environnement NODE_EXTRA_CA_CERTS pour orienter la pile TLS basée sur Node de Claude Code vers le fichier de certificat racine Cato. Assurez-vous qu'il est défini globalement et de manière persistante afin qu'il fonctionne chaque fois que l'utilisateur utilise Claude Desktop, Claude CLI ou une extension IDE Claude Code.
Vérification
Redémarrez Claude Code après avoir défini la variable d'environnement
Tentez une opération Claude Code qui avait échoué précédemment
Si elle réussit sans erreurs TLS tandis que l'Inspection TLS reste activée, la configuration est correcte
Critères d'Escalade de Support
- La variable
NODE_EXTRA_CA_CERTSest correctement configurée et pointe vers un fichier PEM valide, mais Claude Code continue d'échouer avec des erreurs de poignée de main TLS. - L'environnement nécessite une combinaison de TLS mutuel (mTLS) et d'authentification par proxy qui va au-delà de la configuration standard des variables d'environnement.
- Une assistance est nécessaire pour le déploiement ou l'application des paramètres de variables d'environnement à travers plusieurs utilisateurs ou machines au niveau de l'organisation.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.