Zum Inhalt springen
Avanet

Sophos Firewall CA-Zertifikat für TLS Inspection verteilen

Sophos Firewall

Wenn eine Sophos Firewall HTTPS-Verbindungen per TLS Inspection oder HTTPS Scanning entschlüsselt, erstellt die Firewall für die geprüfte Verbindung ein neues Zertifikat und signiert es mit einer lokalen CA. Clients müssen dieser CA vertrauen, sonst erscheinen Browserwarnungen oder Anwendungen brechen die Verbindung ab.

In Sophos Firewall ist dafür standardmässig die eingebaute CA SecurityAppliance_SSL_CA vorhanden. Diese CA kann unter Certificates > Certificate authorities heruntergeladen und auf verwalteten Clients verteilt werden.

Der Artikel Sophos Firewall TLS Inspection richtig einführen beschreibt den gesamten Rollout. Diese Anleitung konzentriert sich auf die Verteilung des CA-Zertifikats an Windows, macOS und Firefox.

Was dieses Zertifikat leistet

Das Sophos Firewall CA-Zertifikat ist kein Serverzertifikat für WebAdmin, WAF oder VPN Portal. Es ist die Vertrauensbasis, mit der Clients die von der Firewall neu signierten HTTPS-Verbindungen akzeptieren.

Wichtig ist die Trennung:

BereichBedeutung
Firewall CAsigniert während TLS Inspection neu erzeugte Zertifikate
Client Trust Storeentscheidet, ob Browser und Anwendungen dieser CA vertrauen
SSL/TLS Inspection Ruleentscheidet, welcher Traffic entschlüsselt wird
Decryption Profilelegt fest, wie streng Zertifikate, TLS-Versionen und Fehler behandelt werden
Exclusion Listverhindert Decryption für problematische oder bewusst ausgenommene Ziele

Die CA-Verteilung allein aktiviert also keine TLS Inspection. Die Verteilung verhindert nur, dass verwaltete Clients bei entschlüsseltem HTTPS-Traffic Zertifikatswarnungen anzeigen. Ob Traffic tatsächlich entschlüsselt wird, hängt von Firewall-Regeln, Web Policy, SSL/TLS Inspection Rules, Decryption Profiles und Ausnahmen ab.

Vor dem Rollout

Vor der Verteilung sollte klar sein, welche Clients TLS Inspection nutzen sollen. Ein CA-Zertifikat gehört nicht unkontrolliert auf jedes Gerät, sondern gezielt auf verwaltete Firmenclients.

Vorbereitung:

  • Testgruppe oder Test-OU definieren.
  • Rollback und Ausnahmeprozess dokumentieren.
  • CA-Zertifikat nur aus der eigenen Firewall herunterladen.
  • Verteilung zuerst auf wenigen Geräten testen.
  • Browser, Business-Anwendungen und Updates nach der Verteilung prüfen.
  • Alte oder nicht mehr verwendete CA-Zertifikate aus dem Client Trust Store entfernen.

⚠️ Achtung: Wenn die CA oder der private Schlüssel kompromittiert wurde, reicht eine Neuverteilung nicht. Dann muss die CA auf der Firewall regeneriert, neu verteilt und die alte CA aus den Clients entfernt werden.

Verteilungsweg wählen

Der richtige Verteilungsweg hängt davon ab, wie die Geräte verwaltet werden.

GerätetypSinnvoller WegHinweis
Windows Domain ClientsGPO in Trusted Root Certification Authoritiessauber für klassische Active-Directory-Umgebungen
Windows ohne DomäneMDM, Intune oder lokaler Importlokaler Import nur für Tests oder Einzelgeräte
macOSMDM-Profil oder Schlüsselbund Systemmanuelle Installation nur für Tests oder kleine Umgebungen
FirefoxWindows Trust Store verwenden oder Mozilla Enterprise PoliciesFirefox-Verhalten muss separat geprüft werden
BYOD oder private Gerätenormalerweise nicht verteilenTLS Inspection gehört auf verwaltete Unternehmensgeräte
Servernur bei bewusst geprüften Server-Workloadsausgehender Servertraffic kann andere Risiken und Ausnahmen haben

Für den produktiven Betrieb ist entscheidend, dass der gleiche Rollout später auch wieder zurückgebaut werden kann. Wer die CA per GPO, MDM oder Policy verteilt, sollte deshalb auch den Entzug der alten CA testen.

Sophos Firewall CA herunterladen

Auf der Sophos Firewall wird das Zertifikat in der Weboberfläche heruntergeladen:

  1. Als Administrator an der Sophos Firewall anmelden.
  2. Certificates > Certificate authorities öffnen.
  3. Die CA SecurityAppliance_SSL_CA suchen.
  4. Über das Download-Symbol das Zertifikat herunterladen.
Sophos SSL CA Zertifikat herunterladen
Download der Sophos Firewall CA für HTTPS Scanning und TLS Inspection

Das Zertifikat liegt danach üblicherweise als SecurityAppliance_SSL_CA.pem vor. Diese Datei enthält den öffentlichen Teil der CA und kann an Clients verteilt werden. Der private Schlüssel darf nicht auf Clients verteilt werden.

Die Datei sollte wie ein sicherheitsrelevantes Konfigurationselement behandelt werden. Der öffentliche Teil ist kein Passwort, aber er definiert, welcher CA Clients künftig vertrauen. Deshalb sollte die Datei aus der eigenen produktiven Firewall stammen, versioniert oder zumindest nachvollziehbar abgelegt und nicht aus alten Projekten wiederverwendet werden.

Windows: Zertifikat per GPO verteilen

In Active-Directory-Umgebungen ist eine Gruppenrichtlinie der sauberste Weg. Edge, Chrome und viele Windows-Anwendungen vertrauen dem Windows-Zertifikatsspeicher.

Empfohlener Pfad in der Gruppenrichtlinienverwaltung:

Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates

Vorgehen:

  1. Gruppenrichtlinienverwaltung auf einem Domain Controller oder Admin-Client öffnen.
  2. Bestehende GPO für Client-Baseline verwenden oder neue GPO für TLS-Inspection-Testgruppe erstellen.
  3. Zum Pfad Trusted Root Certification Authorities > Certificates wechseln.
  4. Rechtsklick in die Zertifikatsliste ausführen.
  5. All Tasks > Import auswählen.
  6. SecurityAppliance_SSL_CA.pem importieren.
  7. GPO nur mit der gewünschten OU oder Sicherheitsgruppe verknüpfen.
  8. Auf einem Testclient gpupdate /force ausführen oder auf die reguläre Aktualisierung warten.
Sophos CA per GPO in vertrauenswürdige Stammzertifizierungsstellen importieren
Verteilung der Sophos Firewall CA über Trusted Root Certification Authorities

Für produktive Umgebungen sollte die GPO nicht direkt auf alle Computer angewendet werden. Eine Test-OU reduziert das Risiko, wenn ein Zertifikat falsch importiert wurde oder eine Anwendung unerwartet reagiert.

Windows: Zertifikat lokal installieren

Für einzelne Testgeräte kann das Zertifikat lokal importiert werden. Dabei gibt es zwei sinnvolle Varianten:

  • Local Computer Store: gilt für alle Benutzer auf dem Gerät und ist für verwaltete Clients meist richtig.
  • Current User Store: gilt nur für den angemeldeten Benutzer und ist für Tests manchmal ausreichend.

Für den lokalen Computer:

  1. Als lokaler Administrator anmelden.
  2. certlm.msc starten.
  3. Trusted Root Certification Authorities > Certificates öffnen.
  4. Rechtsklick in die Zertifikatsliste ausführen.
  5. All Tasks > Import auswählen.
  6. SecurityAppliance_SSL_CA.pem importieren.

Für den aktuellen Benutzer kann alternativ certmgr.msc verwendet werden.

Sophos CA auf einem Windows-Client importieren
Lokaler Import der Sophos Firewall CA in den Windows-Zertifikatsspeicher

Nach dem Import sollten Browser und Anwendungen neu gestartet werden. Bei manchen Anwendungen ist eine Abmeldung oder ein Neustart des Clients sinnvoll.

macOS: Zertifikat im Schlüsselbund vertrauen

Auf macOS wird das Zertifikat über die Schlüsselbundverwaltung importiert.

Vorgehen:

  1. SecurityAppliance_SSL_CA.pem auf den Mac kopieren.
  2. Zertifikat per Doppelklick öffnen.
  3. Im Schlüsselbund System oder einem verwalteten MDM-Profil bereitstellen.
  4. Zertifikat öffnen und unter Trust den Eintrag Always Trust setzen.
  5. Änderung mit einem Admin-Konto bestätigen.
  6. Browser und betroffene Anwendungen neu starten.
Sophos CA in macOS Schlüsselbundverwaltung vertrauen
macOS Schlüsselbundverwaltung: Sophos Firewall CA als vertrauenswürdig markieren

In grösseren macOS-Umgebungen sollte die Verteilung über MDM erfolgen. Manuelle Installation ist eher für Tests oder Einzelgeräte geeignet.

Zertifikat auf verwalteten Geräten prüfen

Nach der Verteilung sollte man auf mindestens einem Testgerät pro Plattform prüfen, ob die CA wirklich im richtigen Trust Store gelandet ist.

PlattformPrüfung
Windows Computer Storecertlm.msc öffnen und unter Trusted Root Certification Authorities > Certificates suchen
Windows Current User Storecertmgr.msc öffnen und den Benutzer-Trust-Store prüfen
macOSSchlüsselbundverwaltung öffnen und im Schlüsselbund System den Trust-Status prüfen
FirefoxSettings > Privacy & Security > Certificates > View Certificates öffnen

Wenn ein Zertifikat nur im Benutzer-Store liegt, eine Anwendung aber den Computer-Store erwartet, kann der Browser funktionieren und eine andere Anwendung trotzdem Zertifikatsfehler zeigen. Umgekehrt können Browser mit eigenem Trust Store die Windows- oder macOS-Verteilung ignorieren, wenn sie nicht entsprechend konfiguriert sind.

Firefox unter Windows

Firefox kann je nach Konfiguration eigene Zertifikatsspeicher verwenden. In Windows-Umgebungen gibt es zwei übliche Wege:

  • Firefox so konfigurieren, dass Windows Root CAs verwendet werden.
  • Zertifikate über Mozilla Enterprise Policies verteilen.

Die zweite Variante ist in Umgebungen sinnvoll, in denen Firefox zentral über GPO gesteuert wird.

Firefox-GPO-Vorlagen herunterladen

Mozilla stellt die Policy Templates auf GitHub bereit. Benötigt werden unter anderem:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Die Dateien können aus dem Mozilla Policy Templates Repository oder als policy_templates.zip heruntergeladen werden.

Mozilla Firefox GPO Policy Template Dateien
Mozilla Policy Templates für Firefox-Gruppenrichtlinien

Vorlagen importieren

Die ADMX- und ADML-Dateien werden in den zentralen PolicyDefinitions-Pfad kopiert.

Typischer lokaler Pfad:

C:\Windows\PolicyDefinitions

Bei einem Central Store in der Domäne wird stattdessen der PolicyDefinitions-Ordner unter SYSVOL verwendet.

Firefox ADMX und ADML Dateien in PolicyDefinitions kopieren
Firefox Policy Templates in PolicyDefinitions bereitstellen

Firefox-Richtlinie konfigurieren

In der Gruppenrichtlinie wird das Zertifikat anschliessend unter den Firefox-Policies eingetragen:

Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates

Vorgehen:

  1. Richtlinie Install Certificates aktivieren.
  2. Dateinamen des Zertifikats eintragen, zum Beispiel SecurityAppliance_SSL_CA.pem.
  3. Zertifikatsdatei per GPO oder Softwareverteilung in das erwartete Benutzerprofil-Verzeichnis kopieren.
Firefox GPO für Sophos CA Zertifikat konfigurieren
Firefox GPO: Sophos Firewall CA für den Browser bereitstellen

Je nach Firefox-Version und Policy-Konfiguration werden Zertifikate aus diesen Verzeichnissen gelesen:

%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates

Nach der nächsten Firefox-Sitzung sollte das Zertifikat in der Firefox-Zertifikatsverwaltung sichtbar sein.

Firefox Zertifikatsverwaltung mit Sophos CA
Firefox Zertifikatsverwaltung: Kontrolle, ob die Sophos Firewall CA importiert wurde

Mozilla dokumentiert zusätzliche Pfade und Varianten im Wiki: Add Root Certificate to Firefox.

Funktion prüfen

Nach der Verteilung sollte man nicht nur prüfen, ob das Zertifikat vorhanden ist. Entscheidend ist, ob TLS Inspection sauber funktioniert.

Sinnvolle Tests:

  1. Testclient neu starten oder Benutzer neu anmelden.
  2. Browser öffnen und eine HTTPS-Seite aufrufen, die von der Sophos Firewall entschlüsselt wird.
  3. Im Browser das Zertifikat der Website anzeigen.
  4. Prüfen, ob die Zertifikatskette über SecurityAppliance_SSL_CA oder die gewählte Sophos CA läuft.
  5. Auf der Firewall im Log Viewer > SSL/TLS inspection prüfen, ob der Traffic als entschlüsselt angezeigt wird.
  6. Wichtige Business-Anwendungen, Update-Dienste, Collaboration-Tools und Identity-Provider testen.

Wenn die Browserwarnung verschwindet, aber Anwendungen weiterhin Fehler zeigen, liegt das Problem oft nicht am Zertifikat selbst. Häufig sind Certificate Pinning, fehlende TLS-Ausnahmen, ein falsches Decryption Profile oder eine ungeeignete SSL/TLS Inspection Rule die Ursache.

Für Web-Traffic sollte zusätzlich geprüft werden, ob QUIC beziehungsweise HTTP/3 die erwartete Inspection umgeht. Der Artikel Sophos Firewall QUIC und HTTP/3 richtig blockieren erklärt, warum Block QUIC protocol bei Webfiltering, Malware-Scanning und TLS Inspection relevant bleibt.

Typische Fehler

ProblemWahrscheinliche UrsachePrüfung
Browser zeigt weiterhin ZertifikatswarnungCA nicht im richtigen Trust StoreWindows/macOS/Firefox Zertifikatsspeicher prüfen
Chrome funktioniert, Firefox nichtFirefox nutzt eigenen ZertifikatsspeicherFirefox-Policies oder Firefox-Zertifikatsverwaltung prüfen
Einzelne Anwendungen brechen abCertificate Pinning oder eigene ZertifikatsprüfungTLS Inspection Log Viewer und Ausnahmen prüfen
Nur manche Clients funktionierenGPO greift nicht oder falsche OUgpresult und GPO-Verknüpfung prüfen
Nach CA-Regeneration gibt es Warnungenalte CA noch auf Clients oder neue CA fehltalte CA entfernen, neue CA verteilen
URL-Feeds oder Webfilter greifen nicht wie erwartetHTTPS-Pfad wird nicht entschlüsseltTLS Inspection und Web-Policy prüfen
Zertifikat ist vorhanden, aber Traffic wird nicht entschlüsseltkeine passende SSL/TLS Inspection Rule oder falscher DPI/Web-Proxy-PfadTLS-Rollout, Firewall-Regel und Log Viewer prüfen
Nur Mobile Apps oder einzelne Clients brechen abeigener Trust Store, Certificate Pinning oder App-spezifische Prüfunggezielte Ausnahme statt globale Deaktivierung prüfen

CA-Rotation und Notfall

Eine CA sollte nicht unbemerkt über Jahre betrieben werden, ohne dass Ablaufdatum, Herkunft und Verteilung bekannt sind. Für produktive Umgebungen sollte es einen kleinen Lifecycle-Prozess geben.

Geplanter Wechsel:

  1. Neue CA oder neue Firewall-CA vorbereiten.
  2. Neue CA an eine Testgruppe verteilen.
  3. TLS Inspection mit Testgruppe prüfen.
  4. Neue CA an alle betroffenen verwalteten Geräte verteilen.
  5. Firewall-Regeln und Decryption Profiles kontrollieren.
  6. Alte CA erst entfernen, wenn alle produktiven Geräte die neue CA erhalten haben.

Notfall bei Kompromittierung:

  1. TLS Inspection bei Bedarf kontrolliert einschränken oder temporär deaktivieren.
  2. Betroffene CA auf der Firewall ersetzen.
  3. Neue CA über den definierten Verteilungsweg ausrollen.
  4. Alte CA aus allen Trust Stores entfernen.
  5. Ausnahmen, Log Viewer und betroffene Anwendungen nachprüfen.
  6. Änderung im Incident- oder Change-System dokumentieren.

Wichtig: Eine kompromittierte CA ist kein normales Zertifikatsproblem. Wenn ein Angreifer den privaten Schlüssel kontrolliert, können Clients gefälschten Zertifikaten vertrauen. Dann muss die alte CA konsequent entfernt werden.

Betrieb und Pflege

Das CA-Zertifikat sollte Teil des Betriebsprozesses sein:

  • Ablaufdatum und Verantwortliche dokumentieren.
  • CA-Regeneration nur geplant durchführen.
  • Alte CA nach Migration aus Clients entfernen.
  • Verteilung über GPO oder MDM regelmässig prüfen.
  • TLS-Ausnahmen dokumentieren und periodisch reviewen.
  • Bei Geräteverlust oder CA-Kompromittierung die CA regenerieren.

Bei einer Änderung an TLS Inspection sollte man auch die betroffenen Firewall-Regeln, Decryption Profiles und Exclusion Lists prüfen. Sonst vertraut der Client zwar der CA, aber die Firewall entschlüsselt trotzdem nicht den gewünschten Traffic.

FAQ

Warum braucht man das Sophos Firewall CA-Zertifikat?

Die Firewall signiert entschlüsselte HTTPS-Verbindungen mit einer lokalen CA. Clients müssen dieser CA vertrauen, damit Browser und Anwendungen die Verbindung akzeptieren.

Muss das Zertifikat auf Servern installiert werden?

Meistens geht es um Clients, die aus dem internen Netz ins Internet zugreifen. Server brauchen das Zertifikat nur, wenn deren ausgehender HTTPS-Traffic ebenfalls über TLS Inspection geprüft werden soll.

Sollte man die Sophos CA auf privaten Geräten installieren?

In der Regel nicht. TLS Inspection gehört auf verwaltete Unternehmensgeräte mit klarer Richtlinie, Supportprozess und Datenschutzbewertung.

Was passiert, wenn die Sophos CA regeneriert wird?

Clients vertrauen dann weiterhin der alten CA, aber nicht automatisch der neuen. Die neue CA muss verteilt und die alte CA nach der Migration entfernt werden.

Reicht die CA-Verteilung für TLS Inspection aus?

Nein. Zusätzlich braucht es passende Firewall-Regeln, Web-Policy, SSL/TLS Inspection Rules, Decryption Profiles, Ausnahmen und Logging.