Aller au contenu
Avanet

Installer le certificat CA de Sophos Firewall pour l'analyse HTTPS (SFOS)

Sophos Firewall

Pour analyser le trafic HTTPS sur Sophos Firewall, il faut importer le certificat Sophos SSL Proxy sur les clients afin d’éviter les messages d’erreur dans le navigateur. Dans ce guide, nous vous montrons comment configurer ce certificat pour les navigateurs Internet Explorer, Edge, Firefox et Google Chrome.

Télécharger la CA SSL Sophos

Connectez-vous en tant qu’administrateur à votre pare-feu Sophos (SFOS) et accédez via le menu à la page Certificats > Autorité de certification (CA). Cliquez ensuite sur l’icône de téléchargement à côté de SecurityAppliance_SSL_CA.

Télécharger le certificat CA SSL Sophos

Le certificat sera ensuite disponible sous le nom SecurityAppliance_SSL_CA.pem sur votre disque dur.

Distribuer le certificat via GPO (IE, Edge, Chrome)

La méthode la plus simple pour distribuer le certificat à tous les ordinateurs du réseau est via une stratégie de groupe dans un domaine. Si vous n’avez pas de domaine, vous pouvez consulter plus bas les instructions pour une installation locale sous Windows et macOS. Nous expliquons ici d’abord comment distribuer le certificat pour les navigateurs Internet Explorer, Edge et Google Chrome. Comme Firefox possède sa propre gestion des certificats, la procédure y est différente et est décrite plus bas dans cet article.

  1. Connectez-vous d’abord à votre serveur Active Directory.
  2. Ouvrez la Gestion des stratégies de groupe, sélectionnez une stratégie et accédez au répertoire Autorités de certification racines approuvées > Certificats.
  3. Faites un clic droit dans un espace vide de la colonne de droite pour ouvrir le menu contextuel. Sélectionnez ensuite Toutes les tâches > Importer....
  4. Suivez l’assistant d’importation et sélectionnez le certificat SecurityAppliance_SSL_CA.pem.
Autorités de certification racines approuvées

Installer le certificat sur un ordinateur local Windows

Si vous souhaitez importer le certificat sur un seul ordinateur Windows, la procédure est pratiquement la même que pour l’importer sur le serveur Active Directory.

  1. Connectez-vous à votre ordinateur Windows local.
  2. Ouvrez via le menu démarrer le programme certmgr.msc et accédez au répertoire Autorités de certification racines approuvées > Certificats.
  3. Faites un clic droit dans un espace vide de la colonne de droite pour ouvrir le menu contextuel. Sélectionnez ensuite Toutes les tâches > Importer....
  4. Suivez l’assistant d’importation et sélectionnez le certificat SecurityAppliance_SSL_CA.pem.
Autorités de certification racines approuvées

Installer le certificat sur un ordinateur local Mac

Sur un Mac, l’installation est également très simple. Les certificats sont en effet gérés dans le trousseau d’accès.

  1. Ouvrez le certificat SecurityAppliance_SSL_CA.pem par un double-clic. Le trousseau d’accès s’ouvrira automatiquement.
  2. Réglez le statut de ce certificat sur Toujours faire confiance.
  3. Vous pouvez ensuite fermer la fenêtre et devrez confirmer avec votre mot de passe administrateur.
Gestion du trousseau macOS - Faire confiance au certificat

Installer le certificat via GPO pour Mozilla Firefox (Windows)

Le navigateur Firefox de Mozilla possède sa propre gestion des certificats, les méthodes décrites ci-dessus ne fonctionnent donc pas. Les utilisateurs de Firefox doivent donc procéder à une installation un peu plus complexe du certificat.

1. Télécharger le modèle GPO Firefox

Mozilla met à disposition sur GitHub les modèles GPO pour Firefox. Vous aurez besoin des fichiers suivants :

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Vous pouvez télécharger ces fichiers individuellement depuis le dépôt GitHub Mozilla ou bien télécharger directement le fichier complet policy_templates.zip qui contient tous les fichiers pour Windows et macOS en plusieurs langues.

Fichiers modèle GPO Firefox depuis GitHub

2. Importer les modèles sur Windows

Ensuite, ces fichiers .admx et .adml doivent être copiés sur le serveur Active Directory dans le dossier approprié pour qu’ils apparaissent comme modèles dans l’éditeur de gestion des stratégies de groupe. Assurez-vous d’être connecté avec un utilisateur disposant des droits nécessaires.

  1. Ouvrez l’Explorateur Windows et allez au chemin C:\Windows\PolicyDefinitions. Si votre partition racine n’est pas sur le lecteur C:, vous pouvez utiliser la variable %systemroot%\PolicyDefinitions.
  2. Copiez les fichiers firefox.adml et mozilla.adml dans ce dossier.
  3. Les fichiers firefox.admx et mozilla.admx sont disponibles en plusieurs langues et doivent être placés dans le sous-dossier correspondant, par exemple de-DE ou en-US.
Installer les certificats Firefox

3. Créer la stratégie

  1. Ouvrez dans l’éditeur de gestion des stratégies de groupe les Modèles d'administration > Mozilla > Firefox > Certificats > Install Certificates.
  2. Activez la stratégie et ajoutez le nom du fichier de certificat que vous avez téléchargé depuis votre pare-feu. Au moment de ce guide, le nom est SecurityAppliance_SSL_CA.pem.
GPO pour Firefox

4. Copier le certificat sur les ordinateurs Windows

Pour que le certificat soit importé au démarrage du navigateur, le fichier .pem doit être copié dans le profil utilisateur. Cela peut également être fait via la GPO. Le certificat SecurityAppliance_SSL_CA.pem doit être copié dans les deux répertoires suivants :

  • %USERPROFILE%\AppData\Local\Mozilla\Certificates
  • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates

5. Vérifier la gestion des certificats dans Firefox

Pour vérifier que tout a fonctionné, vous pouvez ouvrir la gestion des certificats dans les paramètres de Firefox. Sous l’onglet Autorités de certification, vous devriez voir le certificat Sophos.

Gestion des certificats Firefox avec le certificat Sophos

Info : Si vous souhaitez importer le certificat sur un système macOS ou Linux, vous trouverez les chemins système sur cette page : Mozilla Wiki - Add Root Certificate to Firefox