Pour activer l'inspection TLS dans le Cato Cloud, le certificat racine Cato doit être installé comme un certificat de confiance sur chaque appareil client, permettant au Cato Cloud d'inspecter le trafic chiffré et d'afficher les pages de blocage HTTPS sans avertissements du navigateur.
Remarque
Remarque : Pour les comptes utilisant le certificat Cato 2014 comme certificat par défaut pour le compte, ce certificat expirera le 29 octobre. 2025. Vous devez activer le nouveau certificat Cato 2024, pour plus d'informations, voir FAQ pour le Nouveau Certificat Cato par Défaut pour l'Inspection TLS.
Le certificat racine de Cato doit être installé comme certificat de confiance sur chaque appareil Client qui se connecte au Cato Cloud. L'installation du certificat Cato est obligatoire pour l'inspection TLS et permet à Cato Cloud d'inspecter le trafic depuis et vers l'appareil.
Nous recommandons que ce soit l'une des premières étapes dans tout déploiement de Cato. Il sert aux objectifs suivants :
-
Inspection TLS : Lorsque l'inspection TLS est activée, le certificat racine Cato est présenté au client comme émetteur de chaque certificat de site Web HTTPS. Les navigateurs Web ne font pas confiance au certificat de Cato par défaut, et le navigateur affichera un avertissement de certificat lorsqu'un utilisateur visitera un site Web HTTPS sans le certificat de Cato installé. L'inspection TLS est transparente pour l'utilisateur final si le certificat Cato est installé.
-
Afficher les pages de blocage HTTPS : Si le trafic TLS est bloqué par le filtrage d'URL ou les règles du pare-feu Internet, le certificat de Cato permet l'accès à la page de blocage de Cato. Vous n'avez pas besoin d'activer l'inspection TLS ne nécessite pas de bloquer l'accès aux sites Web HTTPS. Cependant, les utilisateurs verront un avertissement de certificat au lieu de la page de blocage si le certificat de Cato n'est pas installé sur leur ordinateur.
Le processus d'installation du certificat est différent pour chaque système d'exploitation :
-
Pour les clients Windows, le certificat Cato est automatiquement ajouté au magasin de certificats Windows et supporte les navigateurs Chrome et Edge
Vous pouvez installer manuellement le certificat Cato pour d'autres navigateurs (comme Firefox), utiliser un objet de stratégie de groupe (GPO) Active Directory, ou utiliser un MDM pour l'installer avec le navigateur, voir Installation du certificat Cato sur les appareils Windows
-
Pour les clients macOS, pour les organisations qui utilisent un MDM, le certificat Cato est automatiquement installé comme partie de la chaîne de certificats CA
Sinon, l'utilisateur SDP installe manuellement le certificat Cato. Pour plus d'informations, voir Installation du certificat Cato sur les appareils macOS.
-
Pour les clients iOS et Android, l'utilisateur SDP installe manuellement le Client ou utilise un MDM pour installer le certificat avec le Client. Pour plus d'informations, voir Installation du certificat Cato sur les appareils iOS ou Installation du certificat Cato sur les appareils Android.
-
Les certificats Cato et les fichiers d'installation du Client peuvent être téléchargés de :
-
Le portail de téléchargement Client au format CER
-
La page Security > Certificate Management au format PEM et DER
-
Microsoft recommande de bloquer l'accès internet pour les contrôleurs de domaine. Effectuez les étapes de 1 à 3 ci-dessous sur un ordinateur autre qu'un contrôleur de domaine
Pour installer le certificat racine de Cato sur des ordinateurs Windows avec GPO :
-
Dans le menu de navigation, cliquez sur Sécurité > Gestion des certificats.
-
À partir du menu Actions à la fin de la ligne du certificat, sélectionnez Télécharger DER et enregistrez le fichier avec le certificat Cato.
-
Transférez le fichier de certificat à un contrôleur de domaine.
-
Sur le contrôleur de domaine, allez à Outils d'administration puis ouvrez Gestion des stratégies de groupe.
-
Cliquez-droit sur le domaine de niveau supérieur et puis sélectionnez Créer un GPO dans ce domaine, et le lier ici….
Note : Si vous souhaitez utiliser un GPO existant, passez à l'étape 8.
-
Entrez un nom pour le GPO et cliquez sur OK.
-
Cliquez-droit sur le GPO créé à l'étape précédente ou le GPO existant et sélectionnez Modifier….
-
Ouvrez Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Paramètres de clé publique, cliquez-droit sur le dossier Autorités de certification racine de confiance, et puis sélectionnez Importer….
-
Cliquez sur Suivant dans la fenêtre Bienvenue dans l'assistant d'importation de certificats.
-
Dans la fenêtre Fichier à importer, cliquez sur Parcourir…, sélectionnez le certificat Cato que vous avez téléchargé à l'étape 3, puis cliquez sur Ouvrir.
-
Cliquez sur Suivant et assurez-vous que Placer tous les certificats dans le magasin suivant est sélectionné et que le magasin de certificats montré est Autorités de certification racine de confiance.
-
Cliquez sur Suivant. Vérifiez que toutes les informations sont correctes et cliquez sur Terminer.
La fenêtre indique, L'importation a réussi.
-
Cliquez sur OK.
0 commentaire
Vous devez vous connecter pour laisser un commentaire.