Ir al contenido
Avanet

Instalar certificado CA de Sophos Firewall para escaneo HTTPS (SFOS)

Sophos Firewall

Si deseas escanear el tráfico HTTPS en Sophos Firewall, debes importar el certificado Sophos SSL Proxy en los clientes para evitar mensajes de error en el navegador. En esta guía te mostramos cómo configurar este certificado para los navegadores Internet Explorer, Edge, Firefox y Google Chrome.

Descargar Sophos SSL CA

Inicia sesión como administrador en tu Sophos Firewall (SFOS) y navega en el menú a la página Certificados > Autoridad de certificación (CA). Luego haz clic en el icono de descarga junto a SecurityAppliance_SSL_CA.

Descargar certificado Sophos SSL CA

El certificado se guardará en tu disco duro con el nombre SecurityAppliance_SSL_CA.pem.

Distribuir certificado mediante GPO (IE, Edge, Chrome)

La forma más sencilla de distribuir el certificado a todos los equipos de la red es mediante una directiva de grupo en un dominio. Si no tienes un dominio, más abajo encontrarás instrucciones para la instalación local en Windows y macOS. Aquí explicamos primero cómo distribuir el certificado para los navegadores Internet Explorer, Edge y Google Chrome. Dado que Firefox tiene su propia gestión de certificados, el procedimiento es diferente y se describe más adelante en este artículo.

  1. Primero, inicia sesión en tu servidor Active Directory.
  2. Abre la Administración de directivas de grupo, selecciona una directiva y navega a la carpeta Entidades emisoras raíz de confianza > Certificados.
  3. Haz clic derecho en un área vacía de la columna derecha para abrir el menú contextual. Luego selecciona Todas las tareas > Importar....
  4. Sigue el asistente de importación y selecciona el certificado SecurityAppliance_SSL_CA.pem.
Entidades emisoras raíz de confianza

Instalar certificado en un equipo local Windows

Si deseas importar el certificado en un solo equipo Windows, el procedimiento es prácticamente igual que en el servidor Active Directory.

  1. Inicia sesión en el equipo Windows local.
  2. Abre el programa certmgr.msc desde el menú Inicio y navega a la carpeta Entidades emisoras raíz de confianza > Certificados.
  3. Haz clic derecho en un área vacía de la columna derecha para abrir el menú contextual. Luego selecciona Todas las tareas > Importar....
  4. Sigue el asistente de importación y selecciona el certificado SecurityAppliance_SSL_CA.pem.
Entidades emisoras raíz de confianza

Instalar certificado en un equipo local Mac

En Mac la instalación también es muy sencilla, ya que los certificados se gestionan en el llavero.

  1. Abre el certificado SecurityAppliance_SSL_CA.pem con doble clic. Esto abrirá automáticamente el llavero.
  2. Cambia el estado de este certificado a Confiar siempre.
  3. Luego puedes cerrar la ventana y deberás confirmar con tu contraseña de administrador.
Gestión de llavero en macOS - Confiar en certificado

Instalar certificado mediante GPO para Mozilla Firefox (Windows)

El navegador Firefox de Mozilla tiene su propia gestión de certificados, por lo que los métodos descritos anteriormente no funcionan. Quienes naveguen con Firefox deben realizar una instalación un poco más compleja del certificado.

1. Descargar plantilla GPO para Firefox

Mozilla ofrece en GitHub las plantillas GPO para Firefox. Necesitarás los siguientes archivos:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Puedes descargar estos archivos individualmente desde el Repositorio de Mozilla en GitHub o descargar el archivo completo policy_templates.zip, que contiene todos los archivos para Windows y macOS en varios idiomas.

Archivos de plantilla GPO para Firefox desde GitHub

2. Importar plantillas en Windows

Luego, estos archivos .admx y .adml deben copiarse en la carpeta correcta del servidor Active Directory para que estén disponibles como plantilla en el editor de directivas de grupo. Asegúrate de iniciar sesión con un usuario con permisos suficientes.

  1. Abre el Explorador de Windows y navega a C:\Windows\PolicyDefinitions. Si tu partición raíz no es C:, puedes usar la variable %systemroot%\PolicyDefinitions.
  2. Copia los archivos firefox.adml y mozilla.adml en esta carpeta.
  3. Los archivos firefox.admx y mozilla.admx están disponibles en varios idiomas y deben colocarse en la subcarpeta correspondiente, por ejemplo de-DE o en-US.
Instalar certificados en Firefox

3. Crear directiva

  1. Abre en el editor de directivas de grupo la ruta Plantillas administrativas > Mozilla > Firefox > Certificados > Install Certificates.
  2. Activa la directiva y añade el nombre del archivo de certificado que descargaste previamente de tu firewall. En el momento de esta guía, el nombre es SecurityAppliance_SSL_CA.pem.
GPO para Firefox

4. Copiar certificado en equipos Windows

Para que el certificado se importe al iniciar el navegador, el archivo .pem debe copiarse en el perfil de usuario. Esto también puede hacerse mediante GPO. El certificado SecurityAppliance_SSL_CA.pem debe copiarse en los siguientes dos directorios:

  • %USERPROFILE%\AppData\Local\Mozilla\Certificates
  • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates

5. Verificar gestión de certificados en Firefox

Para comprobar que todo funcionó, puedes abrir la gestión de certificados en la configuración de Firefox. En la pestaña Autoridades deberías encontrar ahora el certificado de Sophos.

Gestión de certificados de Firefox con el certificado Sophos

Información: Si deseas importar el certificado en un sistema macOS o Linux, puedes consultar las rutas del sistema en la siguiente página: Mozilla Wiki - Add Root Certificate to Firefox