Установка корневого сертификата для инспекции TLS

Чтобы включить инспекцию TLS в облаке Cato, корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом клиентском устройстве, что позволяет облаку Cato инспектировать зашифрованный трафик и отображать блокированные страницы HTTPS без предупреждений браузера.

Установка корневого сертификата Cato на устройствах пользователей

Корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом клиентском устройстве, которое подключается к облаку Cato. Установка сертификата Cato является обязательной для инспекции TLS и позволяет облаку Cato инспектировать трафик на и с устройства.

Мы рекомендуем, чтобы это был один из первых шагов при любом развертывании Cato. Он служит следующим целям:

  • Инспекция TLS: Когда инспекция TLS включена, корневой сертификат Cato предъявляется клиенту как издатель каждого сертификата веб-сайта HTTPS. Веб-браузеры по умолчанию не доверяют сертификату Cato, и браузер будет отображать предупреждение о сертификате, когда пользователь посещает веб-сайт HTTPS без установленного сертификата Cato. Инспекция TLS прозрачна для конечного пользователя, если сертификат Cato установлен.

  • Отображение страниц блокировки HTTPS: Если трафик TLS блокируется фильтрацией URL или правилами интернет-файрвола, сертификат Cato позволяет получить доступ к странице блокировки Cato. Однако пользователи увидят предупреждение о сертификате вместо страницы блокировки, если сертификат Cato не установлен на их компьютере. Вам не нужно включать инспекцию TLS, чтобы блокировать доступ к веб-сайтам HTTPS.

Установка корневого сертификата Cato для конечного пользователя

Процесс установки сертификата различается для каждой операционной системы:

  • Для клиентов Windows сертификат Cato автоматически добавляется в хранилище сертификатов Windows и поддерживает браузеры Chrome и Edge

    Вы можете вручную установить сертификат Cato для других браузеров (таких как Firefox), использовать объект групповой политики (GPO) для службы Active Directory или использовать MDM, чтобы установить его с браузером, см. Installing the Cato Certificate on Windows Devices

  • Для клиентов macOS, для организаций, использующих MDM, сертификат Cato автоматически устанавливается как часть цепочки сертификатов CA

    В противном случае пользователь SDP вручную устанавливает сертификат Cato. Для получения дополнительной информации см. Установка сертификата Cato на устройствах macOS.

  • Для клиентов iOS и Android пользователь SDP вручную устанавливает клиент или использует MDM для установки сертификата вместе с клиентом. Для получения дополнительной информации см. Установка сертификата Cato на устройствах iOS или Установка сертификата Cato на устройствах Android.

  • Сертификат Cato и установочные файлы клиента можно скачать с:

Установка корневого сертификата для домена Windows

Microsoft рекомендует блокировать доступ к Интернету для контроллеров домена. Выполните шаги 1-3 ниже на компьютере, отличном от контроллера домена.

Чтобы установить корневой сертификат Cato на компьютеры Windows через GPO:

  1. В меню навигации выберите Безопасность > Управление сертификатами.

  2. В меню Действия в конце строки сертификата выберите Скачать DER и сохраните файл с сертификатом Cato.

  3. Переместите файл сертификата на контроллер домена.

  4. На контроллере домена перейдите к Административные инструменты, затем откройте Управление групповыми политиками.

  5. В контекстном меню для верхнего уровня домена выберите Создать GPO в этом домене и связать его здесь….

    Примечание: если вы хотите использовать существующий GPO, перейдите к шагу 8.

    360002921098-image-2.png

  6. Введите имя для GPO и нажмите ОК.

  7. В контекстном меню для GPO, созданного на предыдущем шаге или существующего GPO, выберите Редактировать….

    360002921398-image-4.png

  8. Откройте Конфигурация компьютера > Политики > Настройки Windows > Настройки безопасности > Параметры общих ключей, в контекстном меню для папки Доверенные корневые сертификаты выберите Импорт….

  9. Нажмите Далее в окне Добро пожаловать в мастер импорта сертификатов.

  10. В окне Файл для импорта нажмите Обзор…, выберите сертификат Cato, который вы загрузили на шаге 3, затем нажмите Открыть.

  11. Нажмите Далее и убедитесь, что выбрана опция Разместить все сертификаты в следующем хранилище, а хранилище сертификатов указано как Доверенные корневые сертификаты.

    360002921618-image-8.png

  12. Нажмите Далее. Убедитесь, что вся информация верна, и нажмите Завершить.

    Окно заявляет, Импорт был успешным.

  13. Нажмите ОК.

Понимание управления сертификатами

Cato соответствует отраслевым стандартам практики PKI, полагаясь на Общую базу данных CA (CCADB) для управления публичными корневыми сертификатами. CCADB совместно поддерживается ведущими производителями (Mozilla, Microsoft и Google) и представляет собой авторитетное хранилище доверия для корневых сертификатов TLS.

Это заменяет предыдущий метод, когда Cato объединяла хранилище CA Mozilla с внутренним репозиторием сертификатов и получала недостающие сертификаты по мере необходимости - реактивный подход с возможными недостатками. Хранилище на основе CCADB снижает вероятность отсутствия сертификатов и обеспечивает соответствие современным лучшим практикам TLS.

Наша команда научно-исследовательских и опытно-конструкторских работ тщательно проверила CCADB, подтвердив, что ранее отсутствующие сертификаты, о которых сообщали клиенты, присутствовали в базе данных CCADB до миграции.

В редких случаях, например, когда корневой сертификат CA выпускает новый сертификат, который еще не распространился в CCADB или в наш периодический цикл синхронизации, сертификат может все еще отсутствовать в хранилище Cato. Если это произойдет, пожалуйста, поделитесь следующими данными с поддержкой Cato для ускоренного разрешения:

  • Серийный номер сертификата, даты действия, издатель и общее имя или альтернативное имя субъекта (SAN)

  • Отпечаток сертификата SHA-256

  • Файл сертификата в формате .CER

Вы можете получить данные сертификата через ваш браузер (используя значок замка) или через менеджер сертификатов вашей ОС (например, в Windows: Пуск → введите certmgr.msc → найдите сертификат).

После проверки нашей командой по безопасности, CA будет сначала добавлена в нашу среду разработки, а затем распространена глобально на все точки присутствия.

Если вы узнали о новом или необычном сертификате CA, используемом вашей организацией, оперативно поделитесь им с вашим представителем Cato. Это помогает избежать проблем с подключением, связанных с TLS, или необходимости добавления временных правил обхода TLS.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 7 из 7

0 комментариев