Warenkorb

keine Produkte im Warenkorb

Sophos Firewall CA Zertifikat für HTTPS Scanning installieren (SFOS)

Wenn man auf der Sophos Firewall den HTTPS Traffic scannen möchte, muss man auf den Clients das Sophos SSL Proxy Zertifikat importieren, damit keine Fehlermeldung im Browser erscheint. In dieser Anleitung zeigen wir dir, wie du dieses Zertifikat für den Internet Explorer, Edge, Firefox und Google Chrome Browser einrichten kannst.

Sophos SSL CA herunterladen

Melde dich als Administrator an deiner Sophos Firewall (SFOS) an und wechsle über das Menü auf die Seite Zertifikate > Zertifizierungsstelle (CA). Klicke dann auf das Download-Icon neben SecurityAppliance_SSL_CA.

Das Zertifikat findest du anschliessend unter dem Namen SecurityAppliance_SSL_CA.pem auf deiner Festplatte.

Zertifikat per GPO verteilen (IE, Edge, Chrome)

Der einfachste Weg, das Zertifikat an alle Computer im Netzwerk zu verteilen, ist über eine Gruppenrichtlinie in einer Domäne. Falls du keine Domäne hast, kannst du dir weiter unten die Anleitung für die lokale Installation für Windows und macOS anschauen. Wir erklären hier vorerst, wie die Verteilung des Zertifikats für den Internet ExplorerEdge und Google Chrome Browser funktioniert. Da der Firefox eine eigene Zertifikatsverwaltung hat, ist das Vorgehen dort etwas anders. Dies beschreiben wir weiter unten in diesem Artikel.

  1. Melde dich zuerst an deinem Active Directory Server an.
  2. Öffne die Gruppenrichtlinienverwaltung, wähle eine Richtlinie und wechsle in das Verzeichnis Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate.
  3. Klicke dann mit der rechten Maustaste in einen leeren Bereich in der rechten Spalte, um das Kontextmenü zu öffnen. Wähle anschliessend Alle Aufgaben > Importieren....
  4. Folge dem kurzen Import-Assistenten und wähle das SecurityAppliance_SSL_CA.pem Zertifikat aus.

Zertifikat auf einem lokalen Windows Computer installieren

Wenn du das Zertifikat auf einem einzelnen Windows Computer importieren möchtest, ist das Vorgehen praktisch gleich, wie wenn du das Zertifikat auf dem Active Directory Server einlesen würdest.

  1. Melde dich an deinem lokalen Windows Computer an.
  2. Öffne über das Starmenü das Programm certmgr.msc und wechsle in das Verzeichnis Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate.
  3. Klicke dann mit der rechten Maustaste in einen leeren Bereich in der rechten Spalte, um das Kontextmenü zu öffnen. Wähle anschliessend Alle Aufgaben > Importieren....
  4. Folge dem kurzen Import-Assistenten und wähle das SecurityAppliance_SSL_CA.pem Zertifikat aus.

Zertifikat auf einem lokalen Mac Computer installieren

Auf einem Mac ist die Installation ebenfalls sehr einfach. Dort werden Zertifikate ja bekanntlich im Schlüsselbund verwaltet.

  1. Öffne das Zertifikat SecurityAppliance_SSL_CA.pem mit einem Doppelklick. Danach wird automatisch der Schlüsselbund geöffnet.
  2. Setze den Status für dieses Zertifikat auf Immer vertrauen.
  3. Danach kannst du das Fenster schliessen und musst noch als Bestätigung dein Admin Passwort eingeben.

Zertifikat per GPO für Mozilla Firefox installieren (Windows)

Der Firefox Browser von Mozilla hat eine eigene Zertifikatsverwaltung und daher funktionieren die oben beschriebene Methoden leider nicht. Wer also mit dem Firefox durchs Internet surft, muss hier eine etwas umständlichere Installation des Zertifikats in Kauf nehmen.

1. Firefox GPO Vorlage herunterladen

Mozilla stellt auf GitHub die GPO Vorlagen für Firefox bereit. Du benötigst folgende Dateien:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Diese Dateien kannst du dir einzeln vom Github Mozilla Repository herunterladen. Oder du lädst dir gleich das komplette policy_templates.zip herunter, worin alle Dateien für Windows und macOS in verschiedenen Sprachen enthalten sind.

2. Vorlagen auf Windows importieren

Als Nächstes müssen diese .admx und .adml Dateien noch auf dem Active Directory Server in den korrekten Ordner kopiert werden, damit diese später als Vorlage im Gruppenrichtlinienverwaltungs-Editor ersichtlich sind. Achte darauf, dass du dich mit einem Benutzer anmeldest, der über genügend Berechtigungen verfügt.

  1. Öffne den Windows Explorer und gehe zum Pfad C:\Windows\PolicyDefinitions. Sollte deine Root Partition nicht den Laufwerksbuchstaben C: haben, kannst du den Pfad auch mit einer Variable aufrufen: %systemroot%\PolicyDefinitions.
  2. Kopiere die beiden Dokumente firefox.adml und mozilla.adml in diesen Ordner.
  3. Die Dateien firefox.admx und mozilla.admx sind in verschiedenen Sprachen vorhanden und gehören in den entsprechenden Unterordner de-DE oder en-US.

3. Richtlinie erstellen

  1. Öffne nun im Gruppenrichtlinienverwaltungs-Editor die Administrativen Vorlagen > Mozilla > Firefox > Zertifikate > Install Certificates.
  2. Aktiviere die Richtlinie und füge den Namen der Zertifikatsdatei ein, welche du zuvor von deiner Firewall heruntergeladen hast. Zum Zeitpunkt dieser Anleitung lautet der Name SecurityAppliance_SSL_CA.pem.

4. Zertifikat auf Windows Computer kopieren

Damit das Zertifikat beim Starten des Browsers importiert wird, muss das .pem File ins Benutzerprofil kopiert werden. Dies kannst du ebenfalls über die GPO erledigen. Das Zertifikat SecurityAppliance_SSL_CA.pem muss in folgende zwei Verzeichnisse kopiert werden:

  • %USERPROFILE%\AppData\Local\Mozilla\Certificates
  • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates

5. Firefox Zertifikatsverwaltung kontrollieren

Um zu überprüfen, ob alles geklappt hat, kannst du über die Einstellungen im Firefox die Zertifikatsverwaltung öffnen. Unter dem Tab Zertifizierungsstellen solltest du nun das Sophos-Zertifikat vorfinden.

Info: Wenn du das Zertifikat auf einem macOS oder Linux System importieren möchtest, findest du die Systempfade auf folgender Seite: Mozilla Wiki – Add Root Certificate to Firefox