Корневой сертификат Cato должен быть установлен как доверенный сертификат на каждом устройстве Клиента, подключающемся к облаку Cato. Установка сертификата Cato обязательна для Инспекции TLS и позволяет облаку Cato инспектировать трафик к устройству и от него.
Мы рекомендуем, чтобы это было одним из первых шагов при любом внедрении Cato. Это служит следующим целям:
-
Инспекция TLS: Когда Инспекция TLS включена, корневой сертификат Cato представлен Клиенту как Издатель каждого сертификата веб-сайта HTTPS. Веб-браузеры по умолчанию не доверяют сертификату Cato, и браузер отобразит предупреждение о сертификате, когда пользователь посетит веб-сайт HTTPS без установленного сертификата Cato. Инспекция TLS не заметна конечному пользователю, если сертификат Cato установлен.
-
Отображение блокировки HTTPS-страниц: Если трафик TLS блокируется правилами фильтрации URL или брандмауэром Интернета, сертификат Cato позволяет получить доступ к странице блокировки Cato. Вам не нужно включать инспекцию TLS, чтобы блокировать доступ к веб-сайтам HTTPS. Тем не менее, пользователи увидят предупреждение о сертификате вместо страницы блокировки, если сертификат Cato не установлен на их компьютере.
Процесс установки сертификата различается для каждой операционной системы:
-
Для Клиентов Windows сертификат Cato автоматически добавляется в хранилище сертификатов Windows и поддерживает браузеры Chrome и Edge
Вы можете вручную установить сертификат Cato для других браузеров (таких как Firefox), использовать объект групповой политики (GPO) для службы Active Directory или использовать MDM, чтобы установить его с браузером, см. Установка сертификата Cato на устройствах Windows
-
Для пользователей macOS, в организациях, использующих MDM, сертификат Cato автоматически устанавливается как часть цепочки ключей CA
В противном случае Пользователь SDP вручную устанавливает сертификат Cato. Для получения дополнительной информации см. Установка сертификата Cato на устройствах macOS.
-
Для устройств iOS и Android Пользователь SDP вручную устанавливает Клиент или использует MDM для установки сертификата с Клиентом. Для получения дополнительной информации см. Установка сертификата Cato на устройствах iOS или Установка сертификата Cato на устройствах Android.
-
Сертификат Cato и файлы установки Клиента можно скачать из:
-
Портал скачивания Клиента в формате CER
- Страница Безопасность > Управление сертификатами TLS-инспекции в формате PEM и DER
-
Microsoft рекомендует блокировать доступ к Интернету для контроллеров домена. Выполните шаги 1-3 ниже на компьютере, отличном от контроллера домена.
Чтобы установить корневой сертификат Cato на компьютеры Windows с помощью GPO:
-
Из меню Безопасность > Управление сертификатами TLS-инспекции выберите нужное действие.
-
В меню Действия в конце строки сертификата выберите Скачать DER и сохраните файл с сертификатом Cato.
-
Передайте файл сертификата на контроллер домена.
-
На контроллере домена, откройте Административные инструменты, а затем откройте Управление групповой политикой.
-
Щелкните правой кнопкой по верхнему уровню домена и затем выберите Создать GPO в этом домене и ссылку на него здесь....
Примечание: Если вы хотите использовать существующий GPO, перейдите к шагу 8.
-
Введите имя для GPO и нажмите ОК.
-
Щелкните правой кнопкой мыши GPO, созданный на предыдущем шаге, или существующий GPO и выберите Редактировать….
-
Откройте Конфигурация компьютера > Политики > Windows Настройки > Безопасность > Публичный ключ, щелкните правой кнопкой мыши папку Доверенные корневые центры сертификации и выберите Импорт….
-
Нажмите Далее в окне Добро пожаловать в мастер импорта сертификатов.
-
На окне Файл для импорта нажмите Обзор…, выберите сертификат Cato, загруженный на шаге 3, затем нажмите Открыть.
-
Нажмите Далее и убедитесь, что выбрано Поместить все сертификаты в следующее хранилище и отображаемое хранилище сертификатов - это Доверенные корневые центры сертификации.
-
Нажмите Далее. Убедитесь, что вся информация верна, и нажмите Готово.
Окно сообщает: Импорт прошел успешно.
-
Нажмите ОК.
0 комментариев
Войдите в службу, чтобы оставить комментарий.