Sophos Firewall CA Zertifikat für HTTPS Scanning installieren (SFOS)
Wenn man auf der Sophos Firewall den HTTPS Traffic scannen möchte, muss man auf den Clients das Sophos SSL Proxy Zertifikat importieren, damit keine Fehlermeldung im Browser erscheint. In dieser Anleitung zeigen wir dir, wie du dieses Zertifikat für den Internet Explorer, Edge, Firefox und Google Chrome Browser einrichten kannst.
Sophos SSL CA herunterladen
Melde dich als Administrator an deiner Sophos Firewall (SFOS) an und wechsle über das Menü auf die Seite Zertifikate
> Zertifizierungsstelle (CA)
. Klicke dann auf das Download-Icon neben SecurityAppliance_SSL_CA
.
Das Zertifikat findest du anschliessend unter dem Namen SecurityAppliance_SSL_CA.pem
auf deiner Festplatte.
Zertifikat per GPO verteilen (IE, Edge, Chrome)
Der einfachste Weg, das Zertifikat an alle Computer im Netzwerk zu verteilen, ist über eine Gruppenrichtlinie in einer Domäne. Falls du keine Domäne hast, kannst du dir weiter unten die Anleitung für die lokale Installation für Windows und macOS anschauen. Wir erklären hier vorerst, wie die Verteilung des Zertifikats für den Internet Explorer
, Edge
und Google Chrome
Browser funktioniert. Da der Firefox eine eigene Zertifikatsverwaltung hat, ist das Vorgehen dort etwas anders. Dies beschreiben wir weiter unten in diesem Artikel.
- Melde dich zuerst an deinem Active Directory Server an.
- Öffne die
Gruppenrichtlinienverwaltung
, wähle eine Richtlinie und wechsle in das VerzeichnisVertrauenswürdige Stammzertifizierungsstellen
>Zertifikate
. - Klicke dann mit der rechten Maustaste in einen leeren Bereich in der rechten Spalte, um das Kontextmenü zu öffnen. Wähle anschliessend
Alle Aufgaben
>Importieren...
. - Folge dem kurzen Import-Assistenten und wähle das
SecurityAppliance_SSL_CA.pem
Zertifikat aus.
Zertifikat auf einem lokalen Windows Computer installieren
Wenn du das Zertifikat auf einem einzelnen Windows Computer importieren möchtest, ist das Vorgehen praktisch gleich, wie wenn du das Zertifikat auf dem Active Directory Server einlesen würdest.
- Melde dich an deinem lokalen Windows Computer an.
- Öffne über das Starmenü das Programm
certmgr.msc
und wechsle in das VerzeichnisVertrauenswürdige Stammzertifizierungsstellen
>Zertifikate
. - Klicke dann mit der rechten Maustaste in einen leeren Bereich in der rechten Spalte, um das Kontextmenü zu öffnen. Wähle anschliessend
Alle Aufgaben
>Importieren...
. - Folge dem kurzen Import-Assistenten und wähle das
SecurityAppliance_SSL_CA.pem
Zertifikat aus.
Zertifikat auf einem lokalen Mac Computer installieren
Auf einem Mac ist die Installation ebenfalls sehr einfach. Dort werden Zertifikate ja bekanntlich im Schlüsselbund verwaltet.
- Öffne das Zertifikat
SecurityAppliance_SSL_CA.pem
mit einem Doppelklick. Danach wird automatisch der Schlüsselbund geöffnet. - Setze den Status für dieses Zertifikat auf
Immer vertrauen
. - Danach kannst du das Fenster schliessen und musst noch als Bestätigung dein Admin Passwort eingeben.
Zertifikat per GPO für Mozilla Firefox installieren (Windows)
Der Firefox Browser von Mozilla hat eine eigene Zertifikatsverwaltung und daher funktionieren die oben beschriebene Methoden leider nicht. Wer also mit dem Firefox durchs Internet surft, muss hier eine etwas umständlichere Installation des Zertifikats in Kauf nehmen.
1. Firefox GPO Vorlage herunterladen
Mozilla stellt auf GitHub die GPO Vorlagen für Firefox bereit. Du benötigst folgende Dateien:
- firefox.admx
- mozilla.admx
- firefox.adml
- mozilla.adml
Diese Dateien kannst du dir einzeln vom Github Mozilla Repository herunterladen. Oder du lädst dir gleich das komplette policy_templates.zip herunter, worin alle Dateien für Windows und macOS in verschiedenen Sprachen enthalten sind.
2. Vorlagen auf Windows importieren
Als Nächstes müssen diese .admx
und .adml
Dateien noch auf dem Active Directory Server in den korrekten Ordner kopiert werden, damit diese später als Vorlage im Gruppenrichtlinienverwaltungs-Editor ersichtlich sind. Achte darauf, dass du dich mit einem Benutzer anmeldest, der über genügend Berechtigungen verfügt.
- Öffne den Windows Explorer und gehe zum Pfad
C:\Windows\PolicyDefinitions
. Sollte deine Root Partition nicht den Laufwerksbuchstaben C: haben, kannst du den Pfad auch mit einer Variable aufrufen:%systemroot%\PolicyDefinitions
. - Kopiere die beiden Dokumente
firefox.adml
undmozilla.adml
in diesen Ordner. - Die Dateien
firefox.admx
undmozilla.admx
sind in verschiedenen Sprachen vorhanden und gehören in den entsprechenden Unterordnerde-DE
oderen-US
.
3. Richtlinie erstellen
- Öffne nun im Gruppenrichtlinienverwaltungs-Editor die
Administrativen Vorlagen
>Mozilla
>Firefox
>Zertifikate
>Install Certificates
. - Aktiviere die Richtlinie und füge den Namen der Zertifikatsdatei ein, welche du zuvor von deiner Firewall heruntergeladen hast. Zum Zeitpunkt dieser Anleitung lautet der Name
SecurityAppliance_SSL_CA.pem
.
4. Zertifikat auf Windows Computer kopieren
Damit das Zertifikat beim Starten des Browsers importiert wird, muss das .pem
File ins Benutzerprofil kopiert werden. Dies kannst du ebenfalls über die GPO erledigen. Das Zertifikat SecurityAppliance_SSL_CA.pem
muss in folgende zwei Verzeichnisse kopiert werden:
- %USERPROFILE%\AppData\Local\Mozilla\Certificates
- %USERPROFILE%\AppData\Roaming\Mozilla\Certificates
5. Firefox Zertifikatsverwaltung kontrollieren
Um zu überprüfen, ob alles geklappt hat, kannst du über die Einstellungen im Firefox die Zertifikatsverwaltung öffnen. Unter dem Tab Zertifizierungsstellen
solltest du nun das Sophos-Zertifikat vorfinden.
Info: Wenn du das Zertifikat auf einem macOS oder Linux System importieren möchtest, findest du die Systempfade auf folgender Seite: Mozilla Wiki – Add Root Certificate to Firefox