Чтобы включить инспекцию TLS в облаке Cato, корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом клиентском устройстве, что позволяет облаку Cato инспектировать зашифрованный трафик и отображать блокированные страницы HTTPS без предупреждений браузера.
Корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом клиентском устройстве, которое подключается к облаку Cato. Установка сертификата Cato является обязательной для инспекции TLS и позволяет облаку Cato инспектировать трафик на и с устройства.
Мы рекомендуем, чтобы это был один из первых шагов при любом развертывании Cato. Он служит следующим целям:
-
Инспекция TLS: Когда инспекция TLS включена, корневой сертификат Cato предъявляется клиенту как издатель каждого сертификата веб-сайта HTTPS. Веб-браузеры по умолчанию не доверяют сертификату Cato, и браузер будет отображать предупреждение о сертификате, когда пользователь посещает веб-сайт HTTPS без установленного сертификата Cato. Инспекция TLS прозрачна для конечного пользователя, если сертификат Cato установлен.
-
Отображение страниц блокировки HTTPS: Если трафик TLS блокируется фильтрацией URL или правилами интернет-файрвола, сертификат Cato позволяет получить доступ к странице блокировки Cato. Однако пользователи увидят предупреждение о сертификате вместо страницы блокировки, если сертификат Cato не установлен на их компьютере. Вам не нужно включать инспекцию TLS, чтобы блокировать доступ к веб-сайтам HTTPS.
Процесс установки сертификата различается для каждой операционной системы:
-
Для клиентов Windows сертификат Cato автоматически добавляется в хранилище сертификатов Windows и поддерживает браузеры Chrome и Edge
Вы можете вручную установить сертификат Cato для других браузеров (таких как Firefox), использовать объект групповой политики (GPO) для службы Active Directory или использовать MDM, чтобы установить его с браузером, см. Installing the Cato Certificate on Windows Devices
-
Для клиентов macOS, для организаций, использующих MDM, сертификат Cato автоматически устанавливается как часть цепочки сертификатов CA
В противном случае пользователь SDP вручную устанавливает сертификат Cato. Для получения дополнительной информации см. Установка сертификата Cato на устройствах macOS.
-
Для клиентов iOS и Android пользователь SDP вручную устанавливает клиент или использует MDM для установки сертификата вместе с клиентом. Для получения дополнительной информации см. Установка сертификата Cato на устройствах iOS или Установка сертификата Cato на устройствах Android.
-
Сертификат Cato и установочные файлы клиента можно скачать с:
-
Портал загрузки клиента в формате CER
-
Страница Безопасность > Управление сертификатами в форматах PEM и DER
-
Microsoft рекомендует блокировать доступ к Интернету для контроллеров домена. Выполните шаги 1-3 ниже на компьютере, отличном от контроллера домена.
Чтобы установить корневой сертификат Cato на компьютеры Windows через GPO:
-
В меню навигации выберите Безопасность > Управление сертификатами.
-
В меню Действия в конце строки сертификата выберите Скачать DER и сохраните файл с сертификатом Cato.
-
Переместите файл сертификата на контроллер домена.
-
На контроллере домена перейдите к Административные инструменты, затем откройте Управление групповыми политиками.
-
В контекстном меню для верхнего уровня домена выберите Создать GPO в этом домене и связать его здесь….
Примечание: если вы хотите использовать существующий GPO, перейдите к шагу 8.
-
Введите имя для GPO и нажмите ОК.
-
В контекстном меню для GPO, созданного на предыдущем шаге или существующего GPO, выберите Редактировать….
-
Откройте Конфигурация компьютера > Политики > Настройки Windows > Настройки безопасности > Параметры общих ключей, в контекстном меню для папки Доверенные корневые сертификаты выберите Импорт….
-
Нажмите Далее в окне Добро пожаловать в мастер импорта сертификатов.
-
В окне Файл для импорта нажмите Обзор…, выберите сертификат Cato, который вы загрузили на шаге 3, затем нажмите Открыть.
-
Нажмите Далее и убедитесь, что выбрана опция Разместить все сертификаты в следующем хранилище, а хранилище сертификатов указано как Доверенные корневые сертификаты.
-
Нажмите Далее. Убедитесь, что вся информация верна, и нажмите Завершить.
Окно заявляет, Импорт был успешным.
-
Нажмите ОК.
Cato соответствует отраслевым стандартам практики PKI, полагаясь на Общую базу данных CA (CCADB) для управления публичными корневыми сертификатами. CCADB совместно поддерживается ведущими производителями (Mozilla, Microsoft и Google) и представляет собой авторитетное хранилище доверия для корневых сертификатов TLS.
Это заменяет предыдущий метод, когда Cato объединяла хранилище CA Mozilla с внутренним репозиторием сертификатов и получала недостающие сертификаты по мере необходимости - реактивный подход с возможными недостатками. Хранилище на основе CCADB снижает вероятность отсутствия сертификатов и обеспечивает соответствие современным лучшим практикам TLS.
Наша команда научно-исследовательских и опытно-конструкторских работ тщательно проверила CCADB, подтвердив, что ранее отсутствующие сертификаты, о которых сообщали клиенты, присутствовали в базе данных CCADB до миграции.
В редких случаях, например, когда корневой сертификат CA выпускает новый сертификат, который еще не распространился в CCADB или в наш периодический цикл синхронизации, сертификат может все еще отсутствовать в хранилище Cato. Если это произойдет, пожалуйста, поделитесь следующими данными с поддержкой Cato для ускоренного разрешения:
-
Серийный номер сертификата, даты действия, издатель и общее имя или альтернативное имя субъекта (SAN)
-
Отпечаток сертификата SHA-256
-
Файл сертификата в формате .CER
Вы можете получить данные сертификата через ваш браузер (используя значок замка) или через менеджер сертификатов вашей ОС (например, в Windows: Пуск → введите certmgr.msc → найдите сертификат).
После проверки нашей командой по безопасности, CA будет сначала добавлена в нашу среду разработки, а затем распространена глобально на все точки присутствия.
Если вы узнали о новом или необычном сертификате CA, используемом вашей организацией, оперативно поделитесь им с вашим представителем Cato. Это помогает избежать проблем с подключением, связанных с TLS, или необходимости добавления временных правил обхода TLS.
0 комментариев
Войдите в службу, чтобы оставить комментарий.