Чтобы включить инспекцию TLS в Cato Cloud, корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом клиентском устройстве, что позволит Cato Cloud инспектировать зашифрованный трафик и показывать страницы блокировки HTTPS без предупреждений браузера.
Примечание
Примечание: Для аккаунтов, которые используют сертификат Cato 2014 года как сертификат по умолчанию для аккаунта, этот сертификат истечет 29 октября. 2025. Необходимо активировать новый сертификат Cato 2024 года, для получения дополнительной информации см. FAQ for the New Default Cato Certificate for TLS Inspection.
Корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом устройстве Клиента, подключающемся к облаку Cato. Установка сертификата Cato обязательна для Инспекции TLS и позволяет облаку Cato инспектировать трафик к устройству и от него.
Мы рекомендуем, чтобы это было одним из первых шагов при любом внедрении Cato. Это служит следующим целям:
-
Инспекция TLS: Когда Инспекция TLS включена, корневой сертификат Cato представлен Клиенту как Издатель каждого сертификата веб-сайта HTTPS. Веб-браузеры по умолчанию не доверяют сертификату Cato, и браузер отобразит предупреждение о сертификате, когда пользователь посетит веб-сайт HTTPS без установленного сертификата Cato. Инспекция TLS не заметна конечному пользователю, если сертификат Cato установлен.
-
Отображение блокировки HTTPS-страниц: Если трафик TLS блокируется правилами фильтрации URL или брандмауэром Интернета, сертификат Cato позволяет получить доступ к странице блокировки Cato. Вам не нужно включать инспекцию TLS, чтобы блокировать доступ к веб-сайтам HTTPS. Тем не менее, пользователи увидят предупреждение о сертификате вместо страницы блокировки, если сертификат Cato не установлен на их компьютере.
Процесс установки сертификата различается для каждой операционной системы:
-
Для Клиентов Windows сертификат Cato автоматически добавляется в хранилище сертификатов Windows и поддерживает браузеры Chrome и Edge
Вы можете вручную установить сертификат Cato для других браузеров (таких как Firefox), использовать объект групповой политики (GPO) для службы Active Directory или использовать MDM, чтобы установить его с браузером, см. Установка сертификата Cato на устройствах Windows
-
Для пользователей macOS, в организациях, использующих MDM, сертификат Cato автоматически устанавливается как часть цепочки ключей CA
В противном случае Пользователь SDP вручную устанавливает сертификат Cato. Для получения дополнительной информации см. Установка сертификата Cato на устройствах macOS.
-
Для устройств iOS и Android Пользователь SDP вручную устанавливает Клиент или использует MDM для установки сертификата с Клиентом. Для получения дополнительной информации см. Установка сертификата Cato на устройствах iOS или Установка сертификата Cato на устройствах Android.
-
Сертификат Cato и файлы установки Клиента можно скачать из:
-
Портал скачивания Клиента в формате CER
-
Страница Безопасность > Управление сертификатами в форматах PEM и DER
-
Microsoft рекомендует блокировать доступ к Интернету для контроллеров домена. Выполните шаги 1-3 ниже на компьютере, отличном от контроллера домена.
Чтобы установить корневой сертификат Cato на компьютеры Windows с помощью GPO:
-
Из меню Безопасность > Управление сертификатами TLS-инспекции выберите нужное действие.
-
В меню Действия в конце строки сертификата выберите Скачать DER и сохраните файл с сертификатом Cato.
-
Передайте файл сертификата на контроллер домена.
-
На контроллере домена, откройте Административные инструменты, а затем откройте Управление групповой политикой.
-
Щелкните правой кнопкой по верхнему уровню домена и затем выберите Создать GPO в этом домене и ссылку на него здесь....
Примечание: Если вы хотите использовать существующий GPO, перейдите к шагу 8.
-
Введите имя для GPO и нажмите ОК.
-
Щелкните правой кнопкой мыши GPO, созданный на предыдущем шаге, или существующий GPO и выберите Редактировать….
-
Откройте Конфигурация компьютера > Политики > Windows Настройки > Безопасность > Публичный ключ, щелкните правой кнопкой мыши папку Доверенные корневые центры сертификации и выберите Импорт….
-
Нажмите Далее в окне Добро пожаловать в мастер импорта сертификатов.
-
На окне Файл для импорта нажмите Обзор…, выберите сертификат Cato, загруженный на шаге 3, затем нажмите Открыть.
-
Нажмите Далее и убедитесь, что выбрано Поместить все сертификаты в следующее хранилище и отображаемое хранилище сертификатов - это Доверенные корневые центры сертификации.
-
Нажмите Далее. Убедитесь, что вся информация верна, и нажмите Готово.
Окно сообщает: Импорт прошел успешно.
-
Нажмите ОК.
0 комментариев
Войдите в службу, чтобы оставить комментарий.