Pour activer l'Inspection TLS dans le Cloud Cato, le certificat racine Cato doit être installé en tant que certificat de confiance sur chaque appareil client, permettant au Cloud Cato d'inspecter le trafic chiffré et d'afficher des pages de blocage HTTPS sans avertissements du navigateur.
Le certificat racine Cato doit être installé en tant que certificat de confiance sur chaque appareil client qui se connecte au Cloud Cato. L'installation du certificat Cato est obligatoire pour l'Inspection TLS et permet au Cloud Cato d'inspecter le trafic vers et depuis l'appareil.
Nous recommandons que cela soit l'une des premières étapes dans tout déploiement Cato. Il sert les objectifs suivants :
-
Inspection TLS : Lorsque l'Inspection TLS est activée, le certificat racine Cato est présenté au client comme l'émetteur de chaque certificat de site HTTPS. Les navigateurs Web ne font pas confiance au certificat de Cato par défaut, et le navigateur affichera un avertissement de certificat lorsqu'un utilisateur visite un site HTTPS sans le certificat de Cato installé. L'Inspection TLS est transparente pour l'utilisateur final si le certificat Cato est installé.
-
Affichage des pages de blocage HTTPS : Si le trafic TLS est bloqué par le filtrage d'URL ou les règles de pare-feu Internet, le certificat Cato permet l'accès à la page de blocage de Cato. Vous n'avez pas besoin d'activer l'Inspection TLS pour bloquer l'accès aux sites HTTPS. Cependant, les utilisateurs verront un avertissement de certificat au lieu de la page de blocage si le certificat Cato n'est pas installé sur leur ordinateur.
Le processus d'installation du certificat est différent pour chaque système d'exploitation :
-
Pour les clients Windows, le certificat Cato est automatiquement ajouté au magasin de certificats Windows et prend en charge les navigateurs Chrome et Edge.
Vous pouvez installer manuellement le certificat Cato pour d'autres navigateurs (comme Firefox), utiliser un objet de stratégie de groupe (GPO) Active Directory, ou utiliser un MDM pour l'installer avec le navigateur, voir Installation du certificat Cato sur les appareils Windows
-
Pour les clients macOS, pour les organisations utilisant un MDM, le certificat Cato est automatiquement installé dans le trousseau de clés CA.
Sinon, l'utilisateur SDP installe manuellement le certificat Cato. Pour plus d'informations, voir Installation du certificat Cato sur les appareils macOS.
-
Pour les clients iOS et Android, l'utilisateur SDP installe manuellement le client ou utilise un MDM pour installer le certificat avec le client. Pour plus d'informations, voir Installation du certificat Cato sur les appareils iOS ou Installation du certificat Cato sur les appareils Android.
-
Les fichiers d'installation du certificat Cato et du client peuvent être téléchargés depuis :
-
Le portail de téléchargement du client au format CER
-
La page Sécurité > Gestion des certificats au format PEM et DER
-
Microsoft recommande de bloquer l'accès internet pour les contrôleurs de domaine. Effectuez les étapes 1-3 ci-dessous sur un ordinateur autre qu'un contrôleur de domaine.
Pour installer le certificat racine Cato sur des ordinateurs Windows avec GPO :
-
Dans le menu de navigation, cliquez sur Sécurité > Gestion des certificats.
-
Dans le menu Actions en fin de ligne du certificat, sélectionnez Télécharger DER et enregistrez le fichier avec le certificat Cato.
-
Transférez le fichier de certificat à un contrôleur de domaine.
-
Sur le contrôleur de domaine, allez dans Outils d'administration puis ouvrez Gestion des stratégies de groupe.
-
Cliquez droit sur le domaine de haut niveau puis sélectionnez Créer un GPO dans ce domaine, et le lier ici…..
Note: Si vous souhaitez utiliser un GPO existant, passez à l'étape 8.
-
Entrez un nom pour le GPO et cliquez sur OK.
-
Cliquez droit sur le GPO créé à l'étape précédente ou sur le GPO existant et sélectionnez Modifier…..
-
Ouvrez Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètre de Sécurité > Paramètres de clé publique, cliquez droit sur le dossier Autorités de Certification Racine de confiance, puis sélectionnez Importer…..
-
Cliquez sur Suivant dans la fenêtre Bienvenue dans l'assistant d'importation de certificat.
-
Dans la fenêtre Fichier à importer, cliquez sur Parcourir…, sélectionnez le certificat Cato que vous avez téléchargé à l'étape 3, puis cliquez sur Ouvrir., select the Cato certificate that you downloaded in step 3, and then click Open.
-
Cliquez sur Suivant et assurez-vous que Placer tous les certificats dans le magasin suivant est sélectionné et que le magasin de certificats affiché est Autorités de Certification Racine de confiance.
-
Cliquez sur Suivant. Vérifiez que toutes les informations sont correctes et cliquez sur Terminer.
La fenêtre indique : L'importation a réussi.
-
Cliquez sur OK.
Cato s'aligne sur les pratiques normales de l'industrie PKI en s'appuyant sur la base de données CA commune (CCADB) pour gérer les certificats racine publics. CCADB est conjointement maintenu par les principaux fournisseurs (Mozilla, Microsoft et Google), et représente le référentiel autoritaire de confiance CA pour les certificats racine TLS.
Cela remplace la méthode précédente où Cato combinait le magasin CA de Mozilla avec un référentiel interne de certificats et récupérait les certificats manquants sur une base ad hoc — une approche réactive avec d'éventuelles inefficacités. Le magasin basé sur CCADB réduit la probabilité de certificats manquants et assure la conformité avec les bonnes pratiques modernes de TLS.
Notre équipe R&D a validé CCADB de manière exhaustive, confirmant que les certificats manquants précédemment signalés par les clients étaient présents dans la base de données CCADB avant la migration.
Dans de rares cas — par exemple, lorsqu'un CA racine émet un nouveau certificat qui n'a pas encore été propagé dans le CCADB ou dans notre cycle de synchronisation périodique — le certificat peut encore manquer dans le magasin Cato. Si cela se produit, veuillez partager les détails suivants avec le support Cato pour une résolution rapide :
-
Numéro de série du certificat, dates de validité, émetteur et Nom Commun ou Nom Alternatif de Sujet (SAN)
-
Empreinte SHA-256 du certificat
-
Le fichier de certificat au format .CER
Vous pouvez obtenir les détails des certificats via votre navigateur (en utilisant l'icône de cadenas) ou via votre gestionnaire de certificats OS (par exemple, sur Windows : Démarrez → tapez certmgr.msc → localisez le certificat).
Une fois validé par notre équipe de sécurité, le CA sera ajouté d'abord à notre environnement de développement, puis déployé mondialement sur tous les PoPs.
Si vous découvrez un nouveau certificat CA ou un certificat CA peu commun utilisé par votre organisation, partagez-le de manière proactive avec votre représentant Cato. Cela aide à éviter les problèmes de connectivité liés à TLS ou la nécessité d'ajouter des règles de contournement temporaires TLS.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.