Vai al contenuto
Avanet

Installare il certificato CA di Sophos Firewall per la scansione HTTPS (SFOS)

Sophos Firewall

Se si desidera scansionare il traffico HTTPS sulla Sophos Firewall, è necessario importare il certificato Sophos SSL Proxy sui client per evitare messaggi di errore nel browser. In questa guida ti mostriamo come configurare questo certificato per i browser Internet Explorer, Edge, Firefox e Google Chrome.

Scaricare la Sophos SSL CA

Accedi come amministratore alla tua Sophos Firewall (SFOS) e tramite il menu vai alla pagina Certificati > Autorità di certificazione (CA). Quindi clicca sull’icona di download accanto a SecurityAppliance_SSL_CA.

Scaricare il certificato Sophos SSL CA

Il certificato verrà salvato sul tuo disco con il nome SecurityAppliance_SSL_CA.pem.

Distribuire il certificato tramite GPO (IE, Edge, Chrome)

Il modo più semplice per distribuire il certificato a tutti i computer della rete è tramite una Group Policy in un dominio. Se non disponi di un dominio, puoi consultare più avanti la guida per l’installazione locale su Windows e macOS. Qui spieghiamo innanzitutto come funziona la distribuzione del certificato per i browser Internet Explorer, Edge e Google Chrome. Poiché Firefox ha una gestione certificati propria, la procedura è diversa e viene descritta più avanti in questo articolo.

  1. Accedi al tuo server Active Directory.
  2. Apri la Gestione criteri di gruppo, seleziona una policy e vai nella cartella Autorità di certificazione radice attendibili > Certificati.
  3. Fai clic con il tasto destro in un’area vuota della colonna di destra per aprire il menu contestuale. Seleziona quindi Tutte le attività > Importa....
  4. Segui la procedura guidata di importazione e seleziona il certificato SecurityAppliance_SSL_CA.pem.
Autorità di certificazione radice attendibili

Installare il certificato su un computer locale Windows

Se vuoi importare il certificato su un singolo computer Windows, la procedura è praticamente la stessa di quella per importarlo sul server Active Directory.

  1. Accedi al computer Windows locale.
  2. Apri dal menu Start il programma certmgr.msc e vai nella cartella Autorità di certificazione radice attendibili > Certificati.
  3. Fai clic con il tasto destro in un’area vuota della colonna di destra per aprire il menu contestuale. Seleziona quindi Tutte le attività > Importa....
  4. Segui la procedura guidata di importazione e seleziona il certificato SecurityAppliance_SSL_CA.pem.
Autorità di certificazione radice attendibili

Installare il certificato su un computer locale Mac

Su Mac l’installazione è altrettanto semplice, poiché i certificati sono gestiti nel Portachiavi.

  1. Apri il certificato SecurityAppliance_SSL_CA.pem con un doppio clic. Si aprirà automaticamente il Portachiavi.
  2. Imposta lo stato di questo certificato su Sempre attendibile.
  3. Chiudi la finestra e conferma inserendo la password di amministratore.
Gestione Portachiavi macOS - Fidarsi del certificato

Installare il certificato tramite GPO per Mozilla Firefox (Windows)

Il browser Firefox di Mozilla ha una gestione certificati propria, quindi i metodi sopra descritti non funzionano. Chi usa Firefox deve quindi accettare una procedura di installazione del certificato un po’ più complessa.

1. Scaricare il modello GPO per Firefox

Mozilla mette a disposizione su GitHub i modelli GPO per Firefox. Ti servono i seguenti file:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Puoi scaricarli singolarmente dal repository GitHub di Mozilla oppure scaricare direttamente l’intero archivio policy_templates.zip, che contiene tutti i file per Windows e macOS in varie lingue.

File modello GPO Firefox da GitHub

2. Importare i modelli su Windows

Successivamente, i file .admx e .adml devono essere copiati nella cartella corretta sul server Active Directory, in modo che siano visibili come modelli nell’Editor Gestione criteri di gruppo. Assicurati di accedere con un utente con i permessi necessari.

  1. Apri Esplora risorse e vai al percorso C:\Windows\PolicyDefinitions. Se la tua partizione principale non è C:, puoi usare la variabile %systemroot%\PolicyDefinitions.
  2. Copia i file firefox.adml e mozilla.adml in questa cartella.
  3. I file firefox.admx e mozilla.admx sono disponibili in diverse lingue e devono essere copiati nella sottocartella corrispondente, ad esempio de-DE o en-US.
Installare certificati Firefox

3. Creare la policy

  1. Apri nell’Editor Gestione criteri di gruppo la sezione Modelli amministrativi > Mozilla > Firefox > Certificati > Install Certificates.
  2. Attiva la policy e inserisci il nome del file del certificato che hai scaricato dalla tua firewall. Al momento di questa guida il nome è SecurityAppliance_SSL_CA.pem.
GPO per Firefox

4. Copiare il certificato sui computer Windows

Per fare in modo che il certificato venga importato all’avvio del browser, il file .pem deve essere copiato nel profilo utente. Anche questo può essere fatto tramite GPO. Il certificato SecurityAppliance_SSL_CA.pem deve essere copiato in queste due cartelle:

  • %USERPROFILE%\AppData\Local\Mozilla\Certificates
  • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates

5. Controllare la gestione certificati di Firefox

Per verificare che tutto sia andato a buon fine, puoi aprire la Gestione certificati nelle impostazioni di Firefox. Nella scheda Autorità di certificazione dovresti trovare il certificato Sophos.

Gestione certificati di Firefox con il certificato Sophos

Info: Se vuoi importare il certificato su un sistema macOS o Linux, trovi i percorsi di sistema a questa pagina: Mozilla Wiki - Add Root Certificate to Firefox