TLS 검사에 대한 루트 인증서 설치

Cato Cloud에서 TLS 검사를 활성화하려면, Cato 루트 인증서를 모든 클라이언트 장치에 신뢰된 인증서로 설치해야 합니다. 이를 통해 Cato Cloud는 암호화된 트래픽을 검사하고 브라우저 경고 없이 HTTPS 차단 페이지를 표시할 수 있습니다.

최종 사용자 장치에 대한 Cato 루트 인증서 설치

Cato Cloud에 연결하는 모든 클라이언트 장치에서 Cato 루트 인증서는 신뢰된 인증서로 설치되어야 합니다. Cato 인증서 설치는 TLS 검사에 필수이며, Cato Cloud가 장치로부터의 트래픽을 검사하도록 합니다.

이것은 모든 Cato 배포에서 첫 번째 단계 중 하나로 추천합니다. 다음의 목적을 수행합니다:

  • TLS 검사: TLS 검사가 활성화되면, Cato 루트 인증서가 모든 HTTPS 웹사이트 인증서의 발급자로 클라이언트에 제공됩니다. 웹 브라우저는 기본적으로 Cato의 인증서를 신뢰하지 않으며, 사용자가 Cato의 인증서가 설치되지 않은 HTTPS 웹사이트를 방문할 때 브라우저에 인증서 경고가 표시됩니다. Cato 인증서가 설치되어 있으면 TLS 검사는 최종 사용자에게 투명합니다.

  • HTTPS 차단 페이지 표시: TLS 트래픽이 URL 필터링 또는 인터넷 방화벽 규칙에 의해 차단될 경우, Cato 인증서는 Cato의 차단 페이지 접근을 허용합니다. HTTPS 웹사이트 접근을 차단하기 위해 TLS 검사를 활성화할 필요는 없습니다. 그러나, Cato 인증서가 컴퓨터에 설치되지 않은 경우 사용자는 차단 페이지 대신 인증서 경고를 보게 됩니다.

최종 사용자에 대한 Cato 루트 인증서 설치

각 운영 체제별로 인증서 설치 방법이 다릅니다:

  • Windows 클라이언트의 경우, Cato 인증서는 Windows 인증서 저장소에 자동으로 추가되며 Chrome 및 Edge 브라우저를 지원합니다.

    다른 브라우저(예: Firefox)에 대해 카토 인증서를 수동으로 설치하거나 Active Directory 그룹 정책 객체(GPO)를 사용하거나 MDM을 사용하여 브라우저와 함께 설치할 수 있습니다, 자세한 내용은 Windows 장치에 카토 인증서 설치를 참조하세요

  • macOS 클라이언트의 경우 MDM을 사용하는 조직에 대해, Cato 인증서는 CA 키체인의 일부로 자동 설치됩니다.

    그렇지 않으면, SDP 사용자가 수동으로 Cato 인증서를 설치합니다. 자세한 정보는 macOS 장치에 카토 인증서 설치를 참조하십시오.

  • iOS 및 Android 클라이언트의 경우, SDP 사용자가 클라이언트를 수동으로 설치하거나 MDM을 사용하여 클라이언트와 함께 인증서를 설치합니다. 자세한 내용은 iOS 장치에 카토 인증서 설치 또는 Android 장치에 카토 인증서 설치를 참조하세요.

  • Cato 인증서 및 클라이언트 설치 파일은 다음에서 다운로드할 수 있습니다:

Windows 도메인에 대한 루트 인증서 설치

Microsoft는 도메인 컨트롤러에 대한 인터넷 접근 차단을 권장합니다. 도메인 컨트롤러가 아닌 컴퓨터에서 아래의 1-3단계를 수행하세요.

Windows 컴퓨터에서 GPO를 사용하여 Cato 루트 인증서를 설치하려면:

  1. 네비게이션 메뉴에서 보안 > 인증서 관리를 클릭합니다.

  2. 인증서 행의 끝에 있는 작업 메뉴에서 DER 다운로드를 선택하고 Cato 인증서가 포함된 파일을 저장합니다.

  3. 인증서 파일을 도메인 컨트롤러로 전송합니다.

  4. 도메인 컨트롤러에서 관리 도구로 이동한 후 그룹 정책 관리를 엽니다.

  5. 그런 다음 최고 수준의 도메인을 우클릭하고 이 도메인에 GPO 생성하고 여기에 링크.

    참고: 기존 GPO를 사용하려면 8단계로 건너뛰세요.

    360002921098-image-2.png

  6. GPO 이름을 입력하고 확인을 클릭합니다.

  7. 이전 단계에서 생성된 GPO 또는 기존 GPO를 우클릭하고 편집….

    360002921398-image-4.png

  8. 컴퓨터 구성 > 정책 > Windows 설정 > 보안 설정 > 공개 키 설정을 열고, 신뢰할 수 있는 루트 인증 기관 폴더를 우클릭한 후 가져오기….

  9. 다음을 클릭합니다. 인증서 가져오기 마법사에 오신 것을 환영합니다. 창에서.

  10. 가져올 파일 창에서 찾아보기…, 3단계에서 다운로드한 Cato 인증서를 선택하고 열기를 클릭합니다.

  11. 다음을 클릭하고 모든 인증서를 다음 저장소에 놓기가 선택되고, 인증서 저장소가 신뢰할 수 있는 루트 인증 기관으로 표시되었는지 확인합니다.

    360002921618-image-8.png

  12. 다음을 클릭합니다. 모든 정보가 올바른지 확인하고 완료를 클릭합니다.

    창에 가져오기가 성공적으로 수행되었습니다 라고 표시됩니다.

  13. 확인을 클릭합니다.

인증서 관리 이해하기

Cato는 공용 루트 인증서를 관리하기 위해 Common CA Database (CCADB)에 의존함으로써 업계 표준 PKI 관행에 맞추고 있습니다. CCADB는 주요 벤더(Mozilla, Microsoft 및 Google)에 의해 공동으로 유지되며 TLS 루트 인증서에 대한 권위 있는 CA 신뢰 저장소를 대표합니다.

이전 방법을 대체하며, Cato는 Mozilla의 CA 저장소와 내부 인증서 저장소를 결합하여 즉석에서 누락된 인증서를 가져왔습니다—잠재적인 비효율성을 가진 반응적인 접근 방식입니다. CCADB 기반 저장소는 누락된 인증서의 가능성을 줄이고 현대 TLS 모범 사례를 준수합니다.

우리의 R&D 팀은 CCADB를 철저히 검증하여 이전에 고객이 보고한 누락된 인증서가 마이그레이션 전에 CCADB 데이터베이스에 존재했음을 확인했습니다.

드물 경우—예를 들어 루트 CA가 CCADB나 우리의 주기적 동기화 사이클에 아직 전파되지 않은 새로운 인증서를 발급할 때—Cato 저장소에 여전히 인증서가 누락될 수 있습니다. 그런 일이 발생하면, 빠른 해결을 위해 다음의 세부 정보를 Cato Support와 공유하십시오:

  • 인증서 일련 번호, 유효 날짜, 발급자, 일반 이름 또는 주제 대체 이름 (SAN)

  • 인증서의 SHA-256 지문

  • .CER 형식의 인증서 파일

브라우저(자물쇠 아이콘 사용) 또는 OS 인증서 관리자(예: Windows에서: Start → certmgr.msc 입력 → 인증서 찾기)에서 인증서 세부 정보를 얻을 수 있습니다.

우리의 보안 팀에 의해 검증되면, CA는 먼저 개발 환경에 추가되고 이후 모든 PoP에 전세계적으로 배포됩니다.

새로운 또는 일반적이지 않은 CA 인증서가 조직에 의해 사용되고 있다는 것을 인식하면, Cato 담당자에게 적극적으로 공유하십시오. 이는 TLS 관련 연결 문제를 피하거나 임시 TLS 우회 규칙을 추가할 필요성을 방지하는 데 도움이 됩니다.

도움이 되었습니까?

7명 중 7명이 도움이 되었다고 했습니다.

댓글 0개