Ir al contenido
Avanet

Distribuir el certificado CA de Sophos Firewall para la inspección TLS

Cuando un Sophos Firewall descifra conexiones HTTPS mediante inspección TLS o escaneo HTTPS, el firewall crea un nuevo certificado para la conexión inspeccionada y lo firma con una CA local. Los clientes deben confiar en esta CA, de lo contrario, aparecerán advertencias en el navegador o las aplicaciones interrumpirán la conexión.

En Sophos Firewall, la CA integrada SecurityAppliance_SSL_CA está disponible de forma predeterminada. Esta CA se puede descargar desde Certificates > Certificate authorities y distribuir a los clientes gestionados. Pero no basta con que cualquier CA de Sophos esté instalada en los clientes. La CA distribuida debe coincidir con la CA que se usa realmente para el Re-Signing en la configuración de TLS Inspection.

Según el modo de operación, esta selección se comprueba en lugares diferentes: en SSL/TLS Inspection Rules basadas en DPI, la CA relevante está en Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings. En Web Proxy, la CA de HTTPS Scanning se encuentra en Web > General settings > HTTPS decryption and scanning. Si allí se selecciona una CA distinta de la que los clientes confían, aparecen errores de certificado aunque se haya distribuido una CA de Sophos.

El artículo Implementar correctamente la inspección TLS de Sophos Firewall describe todo el proceso de implementación. Esta guía se centra en la distribución del certificado CA a Windows, macOS y Firefox.

Qué hace este certificado

El certificado CA de Sophos Firewall no es un certificado de servidor para WebAdmin, WAF o el portal VPN. Es la base de confianza con la que los clientes aceptan las conexiones HTTPS recién firmadas por el firewall.

Es importante la separación:

  • CA del firewall: firma certificados generados nuevamente durante la inspección TLS.
  • Re-Signing CA o HTTPS Scanning CA: la CA seleccionada concretamente que la firewall utiliza en modo DPI o Web Proxy.
  • Almacén de confianza del cliente: decide si los navegadores y aplicaciones confían en esta CA.
  • Regla de inspección SSL/TLS: decide qué tráfico se descifra.
  • Perfil de descifrado: establece cuán estrictamente se manejan los certificados, versiones TLS y errores.
  • Lista de exclusión: evita el descifrado para destinos problemáticos o intencionalmente excluidos.

La distribución de la CA por sí sola no activa la inspección TLS. La distribución solo evita que los clientes gestionados muestren advertencias de certificados cuando el tráfico HTTPS está descifrado. Si el tráfico se descifra realmente depende de las reglas del firewall, la política web, las reglas de inspección SSL/TLS, los perfiles de descifrado y las excepciones.

Además, la distribución de la CA no sustituye un control limpio de protocolos. SSL/TLS Inspection Rules actúan sobre tráfico TCP. Si el tráfico web usa QUIC o HTTP/3 sobre UDP 443, la inspección se comporta de otra forma y debe tratarse por separado.

Antes de la implementación

Antes de la distribución, debe estar claro qué clientes utilizarán la inspección TLS. Un certificado CA no debe colocarse sin control en cada dispositivo, sino específicamente en clientes corporativos gestionados.

Preparación:

  • Definir un grupo de prueba o una OU de prueba.
  • Aclarar el modo de operación: modo DPI, Web Proxy o ambas variantes.
  • Documentar la CA elegida en Decryption Profile, SSL/TLS inspection settings y Web General settings.
  • Documentar el proceso de reversión y excepciones.
  • Descargar el certificado CA solo desde el propio firewall.
  • Probar la distribución primero en unos pocos dispositivos.
  • Verificar navegadores, aplicaciones empresariales y actualizaciones después de la distribución.
  • Eliminar certificados CA antiguos o no utilizados del almacén de confianza del cliente.

⚠️ Atención: Si la CA o la clave privada se han visto comprometidas, una nueva distribución no es suficiente. En ese caso, la CA debe regenerarse en el firewall, redistribuirse y eliminar la antigua CA de los clientes.

Elegir el método de distribución

El método de distribución adecuado depende de cómo se gestionan los dispositivos.

  • Clientes Windows de dominio: usar GPO en Trusted Root Certification Authorities. Es la vía más limpia para entornos clásicos de Active Directory.
  • Windows sin dominio: usar MDM, Intune o importación local. La importación local encaja más bien para pruebas o dispositivos individuales.
  • macOS: usar perfil MDM o llavero System. La instalación manual encaja más bien para pruebas o entornos pequeños.
  • Firefox: usar Windows Trust Store o desplegar Mozilla Enterprise Policies. El comportamiento de Firefox debe verificarse por separado.
  • BYOD o dispositivos privados: normalmente no distribuir. TLS Inspection corresponde a dispositivos corporativos gestionados.
  • Servidores: distribuir solo en workloads de servidor revisados conscientemente. El tráfico saliente de servidores puede tener otros riesgos y excepciones.

Para la operación productiva, es crucial que la misma implementación pueda revertirse más tarde. Quien distribuya la CA mediante GPO, MDM o políticas, también debe probar la eliminación de la antigua CA.

Descargar la CA de Sophos Firewall

En el Sophos Firewall, el certificado se descarga desde la interfaz web:

  1. Iniciar sesión como administrador en el Sophos Firewall.
  2. Abrir Certificates > Certificate authorities.
  3. Buscar la CA SecurityAppliance_SSL_CA o la CA propia utilizada conscientemente.
  4. Descargar el certificado mediante el icono de descarga.
  5. Comprobar después si la misma CA está seleccionada en la configuración activa de TLS Inspection.
Descargar certificado SSL CA de Sophos
Descarga de la CA de Sophos Firewall para escaneo HTTPS e inspección TLS

El certificado generalmente se presenta como SecurityAppliance_SSL_CA.pem. Este archivo contiene la parte pública de la CA y se puede distribuir a los clientes. La clave privada no debe distribuirse a los clientes.

El archivo debe tratarse como un elemento de configuración relevante para la seguridad. La parte pública no es una contraseña, pero define a qué CA confiarán los clientes en el futuro. Por lo tanto, el archivo debe provenir de su propio firewall productivo, estar versionado o al menos almacenado de manera rastreable y no reutilizarse de proyectos antiguos.

Para controlar la CA activa hay dos rutas adicionales:

  • Modo DPI: abrir Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings y comparar la CA seleccionada allí con el archivo descargado.
  • Web Proxy: abrir Web > General settings > HTTPS decryption and scanning y comprobar la HTTPS-Scanning-CA.

Esta comprobación evita un error frecuente de rollout: en los clientes se distribuye la CA estándar mientras la firewall ya usa otra CA en una Decryption Policy o en Web Proxy.

Distribuir el certificado en Windows mediante GPO

En entornos de Active Directory, una política de grupo es el método más limpio. Edge, Chrome y muchas aplicaciones de Windows confían en el almacén de certificados de Windows.

Ruta recomendada en la administración de políticas de grupo:

Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates

Procedimiento:

  1. Abrir la administración de políticas de grupo en un controlador de dominio o cliente administrador.
  2. Usar una GPO existente para la línea base del cliente o crear una nueva GPO para el grupo de prueba de inspección TLS.
  3. Cambiar a la ruta Trusted Root Certification Authorities > Certificates.
  4. Hacer clic derecho en la lista de certificados.
  5. Seleccionar All Tasks > Import.
  6. Importar SecurityAppliance_SSL_CA.pem.
  7. Vincular la GPO solo con la OU o grupo de seguridad deseado.
  8. Ejecutar gpupdate /force en un cliente de prueba o esperar la actualización regular.
Importar CA de Sophos mediante GPO en autoridades de certificación raíz de confianza
Distribución de la CA de Sophos Firewall a través de Trusted Root Certification Authorities

Para entornos productivos, la GPO no debe aplicarse directamente a todas las computadoras. Una OU de prueba reduce el riesgo si un certificado se importa incorrectamente o una aplicación reacciona inesperadamente.

Instalar el certificado localmente en Windows

Para dispositivos de prueba individuales, el certificado se puede importar localmente. Hay dos variantes razonables:

  • Almacén de computadora local: se aplica a todos los usuarios en el dispositivo y generalmente es correcto para clientes gestionados.
  • Almacén de usuario actual: se aplica solo al usuario conectado y a veces es suficiente para pruebas.

Para la computadora local:

  1. Iniciar sesión como administrador local.
  2. Iniciar certlm.msc.
  3. Abrir Trusted Root Certification Authorities > Certificates.
  4. Hacer clic derecho en la lista de certificados.
  5. Seleccionar All Tasks > Import.
  6. Importar SecurityAppliance_SSL_CA.pem.

Para el usuario actual, se puede usar alternativamente certmgr.msc.

Importar CA de Sophos en un cliente Windows
Importación local de la CA de Sophos Firewall en el almacén de certificados de Windows

Después de la importación, los navegadores y aplicaciones deben reiniciarse. En algunas aplicaciones, es recomendable cerrar sesión o reiniciar el cliente.

Confiar en el certificado en el llavero de macOS

En macOS, el certificado se importa a través de la administración del llavero.

Procedimiento:

  1. Copiar SecurityAppliance_SSL_CA.pem al Mac.
  2. Abrir el certificado con doble clic.
  3. Proporcionarlo en el llavero System o en un perfil MDM gestionado.
  4. Abrir el certificado y en Trust establecer la opción Always Trust.
  5. Confirmar el cambio con una cuenta de administrador.
  6. Reiniciar navegadores y aplicaciones afectadas.
Confiar en la CA de Sophos en la administración del llavero de macOS
Administración del llavero de macOS: marcar la CA de Sophos Firewall como confiable

En entornos macOS más grandes, la distribución debe realizarse a través de MDM. La instalación manual es más adecuada para pruebas o dispositivos individuales.

Verificar el certificado en dispositivos gestionados

Después de la distribución, se debe verificar en al menos un dispositivo de prueba por plataforma si la CA realmente se encuentra en el almacén de confianza correcto.

  • Almacén de computadora Windows: Abrir certlm.msc y buscar en Trusted Root Certification Authorities > Certificates.
  • Almacén de usuario actual de Windows: Abrir certmgr.msc y verificar el almacén de confianza del usuario.
  • macOS: Abrir la administración del llavero y verificar el estado de confianza en el llavero System.
  • Firefox: Abrir Settings > Privacy & Security > Certificates > View Certificates.

Si un certificado solo está en el almacén del usuario, pero una aplicación espera el almacén de la computadora, el navegador puede funcionar y otra aplicación aún mostrar errores de certificado. Por el contrario, los navegadores con su propio almacén de confianza pueden ignorar la distribución de Windows o macOS si no están configurados adecuadamente.

Firefox en Windows

Firefox puede usar almacenes de certificados propios según la configuración. En entornos Windows, hay dos métodos comunes:

  • Configurar Firefox para que use las CA raíz de Windows.
  • Distribuir certificados mediante políticas empresariales de Mozilla.

La segunda variante es adecuada en entornos donde Firefox se gestiona centralmente mediante GPO.

Descargar plantillas GPO de Firefox

Mozilla proporciona las plantillas de políticas en GitHub. Se necesitan, entre otros:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Los archivos se pueden descargar del Repositorio de plantillas de políticas de Mozilla o como policy_templates.zip.

Archivos de plantilla de política GPO de Mozilla Firefox
Plantillas de políticas de Mozilla para políticas de grupo de Firefox

Importar plantillas

Los archivos ADMX y ADML se copian en la ruta central de PolicyDefinitions.

Ruta local típica:

C:\Windows\PolicyDefinitions

En un almacén central en el dominio, se utiliza en su lugar la carpeta PolicyDefinitions bajo SYSVOL.

Copiar archivos ADMX y ADML de Firefox en PolicyDefinitions
Proporcionar plantillas de políticas de Firefox en PolicyDefinitions

Configurar política de Firefox

En la política de grupo, el certificado se ingresa bajo las políticas de Firefox:

Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates

Procedimiento:

  1. Activar la política Install Certificates.
  2. Ingresar el nombre del archivo del certificado, por ejemplo, SecurityAppliance_SSL_CA.pem.
  3. Copiar el archivo de certificado mediante GPO o distribución de software en el directorio de perfil de usuario esperado.
Configurar GPO de Firefox para el certificado CA de Sophos
GPO de Firefox: proporcionar la CA de Sophos Firewall para el navegador

Dependiendo de la versión de Firefox y la configuración de políticas, los certificados se leen de estos directorios:

%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates

Después de la próxima sesión de Firefox, el certificado debería ser visible en la administración de certificados de Firefox.

Administración de certificados de Firefox con CA de Sophos
Administración de certificados de Firefox: verificar si se importó la CA de Sophos Firewall

Mozilla documenta rutas y variantes adicionales en el Wiki: Agregar certificado raíz a Firefox.

Verificar funcionamiento

Después de la distribución, no solo se debe verificar si el certificado está presente. Lo crucial es si la inspección TLS funciona correctamente.

Pruebas recomendadas:

  1. Reiniciar el cliente de prueba o volver a iniciar sesión como usuario.
  2. Abrir un navegador y acceder a una página HTTPS que sea descifrada por el Sophos Firewall.
  3. Mostrar el certificado del sitio web en el navegador.
  4. Verificar si la cadena de certificados pasa por SecurityAppliance_SSL_CA o exactamente la CA de Sophos elegida.
  5. En el firewall, verificar en Log Viewer > SSL/TLS inspection si el tráfico se muestra como descifrado y qué rule o acción se ha aplicado.
  6. Probar aplicaciones empresariales importantes, servicios de actualización, herramientas de colaboración y proveedores de identidad.

Si el navegador sigue mostrando el certificado público original del sitio web, esa conexión no se ha descifrado. Entonces no aplica una SSL/TLS Inspection Rule adecuada, una excepción tiene prioridad, el tráfico sigue otro camino o QUIC/HTTP/3 evita la ruta TCP esperada.

Si la advertencia del navegador desaparece, pero las aplicaciones aún muestran errores, el problema a menudo no está en el certificado en sí. A menudo, el pinning de certificados, la falta de excepciones TLS, un perfil de descifrado incorrecto o una regla de inspección SSL/TLS inadecuada son la causa.

Para el tráfico web, también se debe verificar si QUIC o HTTP/3 evitan la inspección esperada. El artículo Bloquear correctamente QUIC y HTTP/3 en Sophos Firewall explica por qué Block QUIC protocol sigue siendo relevante para el filtrado web, el escaneo de malware y la inspección TLS.

Errores comunes

  • El navegador sigue mostrando advertencias de certificado: CA no en el almacén de confianza correcto. Verificar almacén de certificados de Windows/macOS/Firefox.
  • Chrome funciona, Firefox no: Firefox usa su propio almacén de certificados. Verificar políticas de Firefox o administración de certificados de Firefox.
  • Aplicaciones individuales fallan: Pinning de certificados o verificación de certificados propia. Verificar Log Viewer de inspección TLS y excepciones.
  • Solo algunos clientes funcionan: GPO no se aplica o OU incorrecta. Verificar gpresult y vinculación de GPO.
  • La CA está instalada, pero la advertencia permanece: La CA distribuida quizá no coincide con la CA en Decryption Profile, en SSL/TLS inspection settings o en Web General settings.
  • DPI funciona, Web Proxy no, o al revés: Ambas rutas pueden estar configuradas de forma diferente. Comprobar CA elegida, ruta de reglas y Log Viewer por modo de operación.
  • Después de regenerar la CA hay advertencias: CA antigua aún en clientes o falta la nueva CA. Eliminar CA antigua, distribuir nueva CA.
  • Feeds de URL o filtro web no funcionan como se espera: Ruta HTTPS no descifrada. Verificar inspección TLS y política web.
  • Certificado presente, pero tráfico no descifrado: No hay regla de inspección SSL/TLS adecuada o ruta DPI/proxy web incorrecta. Verificar implementación TLS, regla de firewall y Log Viewer.
  • Solo aplicaciones móviles o clientes individuales fallan: Almacén de confianza propio, Certificate Pinning o comprobación específica de la aplicación es probable. Especialmente el tráfico de Android y apps móviles debe probarse de forma dirigida y excluirse si hace falta, en lugar de distribuir la CA de forma amplia y ciega.

Rotación de CA y emergencia

Una CA no debe operar sin ser notada durante años sin que se conozcan la fecha de vencimiento, el origen y la distribución. Para entornos productivos, debe haber un pequeño proceso de ciclo de vida.

Cambio planificado:

  1. Preparar una nueva CA o una nueva CA de firewall.
  2. Distribuir la nueva CA a un grupo de prueba.
  3. Verificar la inspección TLS con el grupo de prueba.
  4. Distribuir la nueva CA a todos los dispositivos gestionados afectados.
  5. Controlar reglas de firewall y perfiles de descifrado.
  6. Eliminar la CA antigua solo cuando todos los dispositivos productivos hayan recibido la nueva CA.

Emergencia por compromiso:

  1. Restringir o desactivar temporalmente la inspección TLS si es necesario.
  2. Reemplazar la CA afectada en el firewall.
  3. Implementar la nueva CA a través del método de distribución definido.
  4. Eliminar la CA antigua de todos los almacenes de confianza.
  5. Verificar excepciones, Log Viewer y aplicaciones afectadas.
  6. Documentar el cambio en el sistema de incidentes o cambios.

Importante: Una CA comprometida no es un problema de certificado normal. Si un atacante controla la clave privada, los clientes pueden confiar en certificados falsificados. Entonces, la CA antigua debe eliminarse de manera consistente.

Operación y mantenimiento

El certificado CA debe ser parte del proceso operativo:

  • Documentar la fecha de vencimiento y los responsables.
  • Realizar la regeneración de la CA solo de manera planificada.
  • Eliminar la CA antigua de los clientes después de la migración.
  • Verificar regularmente la distribución mediante GPO o MDM.
  • Documentar excepciones TLS y revisarlas periódicamente.
  • Regenerar la CA en caso de pérdida de dispositivos o compromiso de la CA.

Al realizar un cambio en la inspección TLS, también se deben verificar las reglas de firewall afectadas, los perfiles de descifrado y las listas de exclusión. De lo contrario, el cliente puede confiar en la CA, pero el firewall aún no descifra el tráfico deseado.

FAQ

¿Por qué se necesita el certificado CA de Sophos Firewall?

El firewall firma las conexiones HTTPS descifradas con una CA local. Los clientes deben confiar en esta CA para que los navegadores y aplicaciones acepten la conexión.

¿Debe instalarse el certificado en los servidores?

Generalmente se trata de clientes que acceden a Internet desde la red interna. Los servidores solo necesitan el certificado si su tráfico HTTPS saliente también debe ser inspeccionado mediante TLS.

¿Debería instalarse la CA de Sophos en dispositivos privados?

Por lo general, no. La inspección TLS debe estar en dispositivos corporativos gestionados con una política clara, proceso de soporte y evaluación de privacidad.

¿Qué sucede si se regenera la CA de Sophos?

Los clientes seguirán confiando en la CA antigua, pero no automáticamente en la nueva. La nueva CA debe distribuirse y la antigua CA debe eliminarse después de la migración.

¿Es suficiente la distribución de la CA para la inspección TLS?

No. Además, se necesitan reglas de firewall adecuadas, política web, reglas de inspección SSL/TLS, perfiles de descifrado, excepciones y registro.

¿Por qué el navegador sigue mostrando el certificado público original?

Entonces probablemente esa conexión no se ha descifrado. A menudo no aplica una SSL/TLS Inspection Rule adecuada, una excepción tiene prioridad, QUIC o HTTP/3 toma otro camino, o el tráfico no pasa por la regla de firewall esperada.