要在 Cato Cloud 中启用 TLS 检查,必须将 Cato 根证书作为受信任证书安装在每个客户端设备上,以允许 Cato Cloud 检查加密流量并显示 HTTPS 阻止页面而不出现浏览器警告。
注意
注意: 对于使用 2014 Cato 证书作为账户默认证书的账户,此证书将于 10 月 29 日过期。 2025. 您需要激活新的 2024 Cato 证书,更多信息请参见新的默认 Cato 证书的 TLS 检查常见问题解答。
必须在连接到Cato云的每个客户端设备上将Cato根证书安装为受信任的证书。 安装Cato证书对于TLS检查是强制性的,并可让Cato云检查设备的进出流量。
我们建议这是任何Cato部署中的首要步骤之一。 它用于以下目的:
-
TLS 检查: 启用TLS检查后,Cato根证书会显示给客户端作为每个HTTPS网站证书的发行人。 默认情况下,Web浏览器不信任Cato的证书,未安装Cato证书时,用户访问HTTPS网站将显示证书警告。 如果安装了Cato证书,TLS检查对终端用户透明。
-
显示HTTPS阻止页面:如果网址过滤或互联网防火墙规则阻止TLS流量,Cato证书允许访问Cato的阻止页面。 您不需要启用TLS检查来阻止访问HTTPS网站。 然而,如果没有在他们的计算机上安装Cato证书,用户将看到证书警告,而不是阻止页面。
每种操作系统的证书安装过程都不同:
-
对于 Windows 客户端,Cato 证书会自动添加到 Windows 证书存储中,并支持 Chrome 和 Edge 浏览器
您可以手动为其他浏览器(如 Firefox)安装 Cato 证书,使用 Active Directory 组策略对象 (GPO),或使用 MDM 与浏览器一起安装它,详见在 Windows 设备上安装 Cato 证书
-
对于使用 MDM 的组织的 macOS 客户端,Cato 证书会自动作为 CA 密钥链的一部分安装
否则,SDP 用户手动安装 Cato 证书。 有关更多信息,请参见在 macOS 设备上安装 Cato 证书。
-
对于 iOS 和 Android 客户端,SDP 用户手动安装客户端或使用 MDM 与客户端一起安装证书。 有关更多信息,请参见在 iOS 设备上安装 Cato 证书或在 Android 设备上安装 Cato 证书。
-
Cato 证书和客户端安装文件可以从以下位置下载:
-
客户端下载门户(CER 格式)
-
安全 > 证书管理 页面以 PEM 和 DER 格式
-
Microsoft推荐阻止域控制器的互联网访问。 在非域控制器的计算机上执行以下步骤1-3。
使用GPO在Windows计算机上安装Cato根证书:
-
从导航菜单中,点击安全性 > 证书管理。
-
从证书行末尾的操作菜单中,选择下载 DER并保存文件及Cato证书。
-
将证书文件传输到域控制器。
-
在域控制器上,进入管理工具,然后打开组策略管理。
-
右键单击顶级域名,然后选择在此域中创建GPO,并将其链接到此处…。
注意: 如果你想使用现有的GPO,请跳至步骤8。
-
为GPO输入一个名称,然后点击确定。
-
右键单击在上一步创建的GPO或现有GPO,并选择编辑…。
-
打开计算机配置 > 策略 > Windows 设置 > 安全性设置 > 公共密钥设置,右键点击受信任的根证书颁发机构文件夹,然后选择导入…。
-
在欢迎使用证书导入向导窗口中点击下一步。
-
在导入文件窗口,点击浏览…,选择在步骤3中下载的Cato证书,然后点击打开。
-
点击下一步并确保选择了将所有证书放入下列存储并且显示的证书存储为受信任的根证书颁发机构。
-
点击下一步。 验证所有信息正确后,点击完成。
窗口显示,导入成功。
-
点击确定。
0 条评论
请登录写评论。