Para habilitar a Inspeção TLS na Nuvem Cato, o certificado raiz da Cato deve ser instalado como um certificado confiável em cada dispositivo Cliente, permitindo que a Nuvem Cato inspecione o tráfego criptografado e exiba páginas de bloqueio HTTPS sem alertas do navegador.
O certificado raiz da Cato deve ser instalado como um certificado confiável em cada dispositivo Cliente que se conecta à Nuvem Cato. Instalar o certificado Cato é obrigatório para a Inspeção TLS e permite que a Nuvem Cato inspecione o tráfego de e para o dispositivo.
Recomendamos que este seja um dos primeiros passos em qualquer implantação do Cato. Serve aos seguintes propósitos:
-
Inspeção TLS: Quando a Inspeção TLS está ativada, o certificado raiz da Cato é apresentado ao cliente como o emissor de cada certificado de site HTTPS. Os navegadores da web não confiam, por padrão, no certificado da Cato, e o navegador exibirá um aviso de certificado quando um usuário visitar um site HTTPS sem o certificado da Cato instalado. A Inspeção TLS é transparente para o usuário final se o certificado da Cato estiver instalado.
-
Exibindo páginas de bloqueio HTTPS: Se o tráfego TLS for bloqueado por Filtragem de URL ou regras de firewall da Internet, o certificado Cato permite o acesso à página de bloqueio da Cato. Você não precisa habilitar a Inspeção TLS para bloquear o acesso a sites HTTPS. No entanto, os usuários verão um aviso de certificado em vez da página de bloqueio se o certificado Cato não estiver instalado em seus computadores.
O processo de instalação do certificado é diferente para cada sistema operacional:
-
Para Clientes Windows, o certificado Cato é adicionado automaticamente ao armazenamento de certificados do Windows e suporta os navegadores Chrome e Edge.
Você pode instalar manualmente o certificado Cato para outros navegadores (como Firefox), usar um Objeto de Política de Grupo (GPO) do Active Directory, ou usar um MDM para instalá-lo com o navegador, veja Instalando o Certificado Cato em Dispositivos Windows
-
Para Clientes macOS, para organizações que usam um MDM, o certificado Cato é instalado automaticamente como parte do chaveiro CA.
Caso contrário, o usuário SDP instala manualmente o certificado Cato. Para mais informações, veja Instalando o Certificado Cato em Dispositivos macOS.
-
Para Clientes iOS e Android, o usuário SDP instala manualmente o Cliente ou usa um MDM para instalar o certificado com o Cliente. Para mais informações, veja Instalando o Certificado Cato em Dispositivos iOS ou Instalando o Certificado Cato em Dispositivos Android.
-
Os arquivos de instalação do certificado Cato e Cliente podem ser baixados de:
-
O portal de download do Cliente em formato CER
-
A página Segurança > Gerenciamento de Certificados em formato PEM e DER
-
A Microsoft recomenda bloquear o acesso à internet para os Controladores de Domínio. Execute os passos 1-3 abaixo em um computador que não seja um Controlador de Domínio.
Para instalar o certificado raiz da Cato em computadores Windows com GPO:
-
No menu de navegação, clique em Segurança > Gerenciamento de Certificados.
-
No menu Ações no final da linha do certificado, selecione Baixar DER e salve o arquivo com o certificado da Cato.
-
Transfira o arquivo do certificado para um Controlador de Domínio.
-
No Controlador de Domínio, acesse Ferramentas Administrativas e então abra Gerenciamento de Política de Grupo.
-
Clique com o botão direito no domínio de nível superior e então selecione Criar um GPO neste domínio e vincule-o aqui....
Nota: Se você quiser usar um GPO existente, pule para o passo 8.
-
Digite um nome para o GPO e clique em OK.
-
Clique com o botão direito no GPO criado no passo anterior ou no GPO existente e selecione Editar....
-
Abra Configuração do Computador > Políticas > Configurações do Windows > Configuração de Segurança > Configurações de Chave Pública, clique com o botão direito na pasta Autoridades de Certificação Raiz Confiáveis e então selecione Importar....
-
Clique em Próximo na janela Bem-vindo ao Assistente de Importação de Certificado.
-
Na janela Arquivo para Importar, clique em Procurar..., selecione o certificado da Cato que você baixou no passo 3, e então clique em Abrir.
-
Clique em Próximo e certifique-se de que Colocar todos os certificados na seguinte loja está selecionado e que a loja de certificados exibida é Autoridades de Certificação Raiz Confiáveis.
-
Clique em Próximo. Verifique se todas as informações estão corretas e clique em Concluir.
A janela declara, A importação foi bem-sucedida.
-
Clique em OK.
A Cato alinha-se com as práticas padrão de PKI da indústria ao confiar no Banco de Dados CA Comum (CCADB) para gerenciar certificados raiz públicos. O CCADB é mantido conjuntamente pelos principais fornecedores (Mozilla, Microsoft e Google) e representa a loja de confiança CA autoritativa para certificados raiz de TLS.
Isso substitui o método anterior, onde a Cato combinava o repositório CA Mozilla com um repositório interno de certificados e buscava certificados ausentes de forma reativa — uma abordagem reativa com potenciais ineficiências. A loja baseada em CCADB reduz a probabilidade de certificados ausentes e garante conformidade com as melhores práticas modernas de TLS.
Nossa equipe de Pesquisa e Desenvolvimento validou o CCADB minuciosamente, confirmando que certificados anteriormente ausentes relatados por clientes estavam presentes no banco de dados CCADB antes da migração.
Em casos raros — por exemplo, quando uma CA raiz emite um novo certificado que ainda não foi propagado para o CCADB ou para nosso ciclo de sincronização periódico — o certificado pode ainda estar ausente na loja Cato. Se isso acontecer, compartilhe os seguintes detalhes com o Suporte Cato para uma resolução rápida:
-
Número de série do certificado, datas de validade, emissor e Nome Comum ou Nome Alternativo do Assunto (SAN)
-
Impressão digital SHA-256 do certificado
-
O arquivo de certificado em formato .CER
Você pode obter detalhes do certificado através do seu navegador (usando o ícone de cadeado) ou através do gerenciador de certificados do seu SO (por exemplo, no Windows: Iniciar → digitar certmgr.msc → localizar o certificado).
Uma vez validado por nossa equipe de segurança, a CA será adicionada primeiro ao nosso ambiente de desenvolvimento e então distribuída globalmente para todos os PoPs.
Se você tomar conhecimento de um certificado CA novo ou incomum que é usado por sua organização, compartilhe-o proativamente com seu representante Cato. Isso ajuda a evitar problemas de conectividade relacionados ao TLS ou a necessidade de adicionar regras temporárias de desvio de TLS.
0 comentário
Por favor, entre para comentar.