在安装用于TLS检查的根证书

要在Cato云中启用TLS检查，必须将Cato根证书安装为每个客户端设备上的可信证书，允许Cato云检查加密流量并显示HTTPS阻止页面而不会有浏览器警告。

在终端用户设备上安装Cato根证书

Cato根证书必须安装为每个连接到Cato云的客户端设备上的可信证书。安装Cato证书是TLS检查的必需步骤，并允许Cato云检查设备的流量进出。

我们建议这是任何Cato部署的第一步。它具有以下目的：

TLS 检查：启用TLS检查时，Cato根证书呈现给客户端作为每个HTTPS网站证书的发行人。 Web浏览器默认不信任Cato的证书，用户在没有安装Cato证书的情况下访问HTTPS网站时，浏览器会显示证书警告。如果安装了Cato证书，TLS检查对终端用户来说是透明的。
显示HTTPS阻止页面：如果TLS流量被URL过滤或互联网防火墙规则阻止，Cato证书允许访问Cato的阻止页面。您不需要启用TLS检查即可阻止访问HTTPS网站。然而，如果计算机上没有安装Cato证书，用户将看到证书警告而不是阻止页面。

安装证书的过程对于每个操作系统是不同的：

对于 Windows 客户端，Cato 证书会自动添加到 Windows 证书存储中，并支持 Chrome 和 Edge 浏览器

您可以手动为其他浏览器（如 Firefox）安装 Cato 证书，使用 Active Directory 组策略对象 (GPO)，或使用 MDM 与浏览器一起安装它，详见在 Windows 设备上安装 Cato 证书
对于使用 MDM 的组织的 macOS 客户端，Cato 证书会自动作为 CA 密钥链的一部分安装

否则，SDP 用户手动安装 Cato 证书。有关更多信息，请参见在 macOS 设备上安装 Cato 证书。
对于 iOS 和 Android 客户端，SDP 用户手动安装客户端或使用 MDM 与客户端一起安装证书。有关更多信息，请参见在 iOS 设备上安装 Cato 证书或在 Android 设备上安装 Cato 证书。
Cato 证书和客户端安装文件可从客户端下载门户下载
- 来自客户端下载门户的 CER 格式
- 在 安全性 > 证书管理 页面上的 PEM 和 DER 格式

Microsoft推荐阻止域控制器的互联网访问。在域控制器以外的计算机上执行以下步骤1-3。

要通过GPO在Windows计算机上安装Cato根证书：

Cato通过依赖于公共CA数据库（CCADB）来管理公共根证书，以此与行业标准PKI实践保持一致。 CCADB由领先供应商（Mozilla，Microsoft和Google）联合维护，代表TLS根证书的权威CA信任存储。

此方法替代了之前的方法，Cato结合Mozilla的CA存储与内部证书库并在临时基础上获取缺失的证书——一种具有潜在低效率的反应性方法。基于CCADB的存储减少了证书缺失的可能性，并确保符合现代TLS最佳实践。

我们的研发团队彻底验证了CCADB，确认迁移之前客户报告缺失的证书在CCADB数据库中存在。

在罕见的情况下——例如，当根CA颁发新证书尚未传播到CCADB或我们的周期性同步循环中——证书可能仍在Cato存储中缺失。如果发生这种情况，请与Cato支持团队共享以下详细信息以加快解决：

您可以通过浏览器（使用挂锁图标）或通过您的操作系统证书管理器（例如，在Windows上：开始 → 输入certmgr.msc → 找到证书）获得证书详细信息。

一旦经过我们的安全团队验证，CA将首先添加到我们的开发环境中，然后向全球所有的PoP推出。

如果您发现您的组织使用了新的或不常见的CA证书，请主动与您的Cato代表分享。这有助于避免与TLS相关的连接问题或需要添加临时的TLS绕过规则。