Sophos Firewall CA-certificaat distribueren voor TLS Inspection
Wanneer een Sophos Firewall HTTPS-verbindingen decodeert via TLS Inspection- of HTTPS-scanning, maakt de firewall een nieuw certificaat aan voor de verbinding die wordt gecontroleerd en ondertekent dit met een lokale CA. Clients moeten deze CA vertrouwen, anders verschijnen er browserwaarschuwingen of verbreken applicaties de verbinding.
De ingebouwde CA SecurityAppliance_SSL_CA is standaard beschikbaar in Sophos Firewall. Deze CA kan worden gedownload op Certificates > Certificate authorities en worden gedistribueerd naar beheerde clients. Maar het is niet alleen belangrijk dat er een Sophos CA op de clients staat. De gedistribueerde CA moet overeenkomen met de CA die daadwerkelijk wordt gebruikt voor het opnieuw ondertekenen in de TLS Inspectionconfiguratie.
Afhankelijk van de bedrijfsmodus wordt deze selectie op verschillende plaatsen gecontroleerd: Voor op DPI gebaseerde SSL/TLS Inspectionregels is de CA onder Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings relevant. Voor de webproxy bevindt de CA voor HTTPS-scannen zich onder Web > General settings > HTTPS decryption and scanning. Als er een andere CA wordt geselecteerd dan degene die door de clients wordt vertrouwd, treden er certificaatfouten op, ook al werd over het algemeen een Sophos CA gedistribueerd.
Het artikel Sophos Firewall TLS Inspection correct ingevoerd beschrijft de gehele uitrol. Deze handleiding richt zich op het distribueren van het CA-certificaat naar Windows, macOS en Firefox.
Wat dit certificaat doet
Het Sophos Firewall CA-certificaat is geen servercertificaat voor WebAdmin, WAF of VPN Portal. Het is de vertrouwensbasis waarmee clients de HTTPS-verbindingen accepteren die opnieuw door de firewall zijn ondertekend.
De scheiding is belangrijk:
- Firewall CA: ondertekent nieuw gegenereerde certificaten tijdens TLS Inspection.
- CA opnieuw ondertekenen of HTTPS CA scannen: de specifiek geselecteerde CA die de firewall gebruikt in DPI-modus of webproxymodus.
- Client Trust Store: beslist of browsers en applicaties deze CA vertrouwen.
- SSL/TLS Inspectionregel: bepaalt welk verkeer wordt gedecodeerd.
- Decryptieprofiel: bepaalt hoe strikt met certificaten, TLS-versies en fouten wordt omgegaan.
- Uitsluitingslijst: voorkomt decodering voor problematische of opzettelijk uitgesloten doelen.
Alleen de CA-distributie activeert TLS Inspection niet. De distributie voorkomt alleen dat beheerde clients certificaatwaarschuwingen weergeven voor gedecodeerd HTTPS-verkeer. Of verkeer daadwerkelijk wordt gedecodeerd, hangt af van firewallregels, webbeleid, SSL/TLS Inspectionregels, decoderingsprofielen en uitzonderingen.
Bovendien vervangt CA-distributie geen schone protocolcontrole. SSL/TLS Inspectionregels hebben toegang tot TCP-verkeer. Als het webverkeer via QUIC of HTTP/3 op UDP 443 loopt, ziet de controle er anders uit en moet deze afzonderlijk worden behandeld.
Vóór de uitrol
Vóór distributie moet duidelijk zijn welke cliënten TLS Inspection moeten gebruiken. Een CA-certificaat hoort niet ongecontroleerd op elk apparaat thuis, maar specifiek op beheerde bedrijfsclients.
Bereiding:
- Definieer testgroep of test-OE.
- Verduidelijk de bedrijfsmodus: DPI-modus, webproxy of beide varianten.
- Documenteer de geselecteerde CA in decryptieprofiel, SSL/TLS Inspection-instellingen en algemene webinstellingen.
- Document terugdraaien en uitzonderingsproces.
- Download CA-certificaat alleen vanuit uw eigen firewall.
- Test de distributie eerst op een paar apparaten.
- Controleer browsers, bedrijfsapplicaties en updates na distributie.
- Evalueer mobiele apparaten en apps afzonderlijk met hun eigen truststore of certificaatpinning.
- Verwijder oude of niet meer gebruikte CA-certificaten uit de Client Trust Store.
⚠️ Let op: Als de CA of privésleutel is gecompromitteerd, is herverdeling niet voldoende. Vervolgens moet de CA op de firewall opnieuw worden gegenereerd, opnieuw worden gedistribueerd en moet de oude CA van de clients worden verwijderd.
Selecteer distributieroute
Het juiste distributiepad is afhankelijk van de manier waarop de apparaten worden beheerd.
- Windows Domain Clients: Gebruik GPO in
Trusted Root Certification Authorities. Dit is de schoonste manier voor klassieke Active Directory-omgevingen. - Windows zonder domein: Gebruik MDM, Intune of lokale import. Lokale import is geschikter voor tests of individuele apparaten.
- macOS: Gebruik MDM-profiel of sleutelhanger
System. Handmatige installatie is meer geschikt voor test- of kleine omgevingen. - Firefox: Gebruik Windows Trust Store of implementeer Mozilla Enterprise Policies. Het gedrag van Firefox moet afzonderlijk worden gecontroleerd.
- BYOD of persoonlijke apparaten: worden normaal gesproken niet verspreid. TLS Inspection behoort tot beheerde bedrijfsapparaten.
- Server: alleen distribueren naar doelbewust geteste serverworkloads. Uitgaand serververkeer kan andere risico’s en uitzonderingen met zich meebrengen.
Voor productieve activiteiten is het van cruciaal belang dat dezelfde uitrol later kan worden teruggedraaid. Iedereen die de CA verspreidt via GPO, MDM of beleid, moet daarom ook de intrekking van de oude CA testen.
Sophos Firewall CA downloaden
Op de Sophos Firewall wordt het certificaat gedownload in de webinterface:
- Meld u als beheerder aan bij Sophos Firewall.
- Certificates > Certificate authorities openen.
- Zoek de CA
SecurityAppliance_SSL_CAof de bewust gebruikte eigen CA. - Download het certificaat met behulp van het downloadsymbool.
- Controleer vervolgens of dezelfde CA is geselecteerd in de actieve TLS Inspectionconfiguratie.

Het certificaat is dan doorgaans beschikbaar als SecurityAppliance_SSL_CA.pem. Dit bestand bevat het openbare deel van de CA en kan naar klanten worden gedistribueerd. De privésleutel mag niet onder clients worden verdeeld.
Het bestand moet worden behandeld als een beveiligingsgerelateerd configuratie-item. Het publieke deel is geen wachtwoord, maar definieert welke CA-clients in de toekomst zullen vertrouwen. Het bestand moet daarom uit uw eigen productieve firewall komen, een versienummer hebben of in ieder geval traceerbaar worden opgeslagen en niet worden hergebruikt uit oude projecten.
Er zijn twee extra paden voor het controleren van de actieve CA:
- DPI-modus: Open Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings en vergelijk de daar geselecteerde CA met het gedownloade bestand.
- Open Web Proxy: Web > General settings > HTTPS decryption and scanning en controleer de HTTPS-scanCA.
This check prevents a common rollout error: the standard CA is distributed on the clients, while the firewall is already using a different CA in a decryption policy or in the web proxy.
Windows: Certificaat distribueren via GPO
In Active Directory-omgevingen is een groepsbeleid de schoonste manier. Edge, Chrome en veel Windows-applicaties vertrouwen op het Windows-certificaatarchief.
Aanbevolen pad in Groepsbeleidsbeheer:
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates
Werkwijze:
- Open Groepsbeleidsbeheer op een domeincontroller of beheerdersclient.
- Gebruik het bestaande GPO voor de clientbasislijn of maak een nieuw GPO voor de TLS Inspectiontestgroep.
- Ga naar pad Trusted Root Certification Authorities > Certificates.
- Klik met de rechtermuisknop in de certificaatlijst.
- Selecteer All Tasks > Import.
- Importeer
SecurityAppliance_SSL_CA.pem. - Associate GPO only with the desired OU or security group.
- Voer
gpupdate /forceuit op een testclient of wacht op de reguliere update.

Voor productieomgevingen mag het GPO niet rechtstreeks op alle computers worden toegepast. Een test-OE verkleint het risico als een certificaat verkeerd wordt geïmporteerd of een applicatie onverwacht reageert.
Windows: certificaat lokaal installeren
Het certificaat kan lokaal worden geïmporteerd voor individuele testapparaten. Er zijn twee verstandige varianten:
- Lokale computerwinkel: is van toepassing op alle gebruikers op het apparaat en is meestal correct voor beheerde clients.
- Huidige gebruikerswinkel: geldt alleen voor de ingelogde gebruiker en is soms voldoende om te testen.
For the local computer:
- Meld u aan als lokale beheerder.
- Start
certlm.msc. - Trusted Root Certification Authorities > Certificates openen.
- Right-click in the certificate list.
- Selecteer All Tasks > Import.
- Importeer
SecurityAppliance_SSL_CA.pem.
Als alternatief kan certmgr.msc voor de huidige gebruiker worden gebruikt.

Na het importeren moeten browsers en applicaties opnieuw worden opgestart. Voor sommige toepassingen is het zinvol om uit te loggen of de client opnieuw op te starten.
macOS: vertrouwenscertificaat in sleutelhanger
Op macOS wordt het certificaat geïmporteerd via Keychain Access.
Werkwijze:
- Kopieer
SecurityAppliance_SSL_CA.pemnaar de Mac. - Open het certificaat door te dubbelklikken.
- Implementeren in Keychain Systeem of een beheerd MDM-profiel.
- Open het certificaat en stel onder Vertrouwen de optie Altijd vertrouwen in.
- Bevestig de wijziging met een beheerdersaccount.
- Start de browser en de betrokken applicaties opnieuw.

In grotere macOS-omgevingen zou distributie via MDM moeten plaatsvinden. Handmatige installatie is meer geschikt voor testen of individuele apparaten.
Controleer het certificaat op beheerde apparaten
Na distributie dient u op minimaal één testapparaat per platform te controleren of de CA daadwerkelijk in de juiste truststore terecht is gekomen.
- Windows Computer Store: Open
certlm.mscen zoek onder Trusted Root Certification Authorities > Certificates. - Windows Huidige gebruikerswinkel: Open
certmgr.mscen controleer de gebruikersvertrouwensopslag. - macOS: Open Keychain Access en controleer de vertrouwensstatus in de Systeem-sleutelhanger.
- Firefox: Open Settings > Privacy & Security > Certificates > View Certificates.
Als een certificaat alleen in het gebruikersarchief staat, maar een applicatie het computerarchief verwacht, kan de browser werken en kan een andere applicatie nog steeds certificaatfouten weergeven. Omgekeerd kunnen browsers met een eigen truststore de Windows- of macOS-distributie negeren als ze niet dienovereenkomstig zijn geconfigureerd.
Firefox op Windows
Afhankelijk van de configuratie kan Firefox zijn eigen certificaatarchieven gebruiken. In Windows-omgevingen zijn er twee veel voorkomende manieren:
- Configureer Firefox om Windows Root CA’s te gebruiken.
- Distribueer certificaten via Mozilla Enterprise Policies.
De tweede variant is zinvol in omgevingen waarin Firefox centraal via GPO wordt aangestuurd.
Firefox GPO-sjablonen downloaden
Mozilla stelt de beleidssjablonen beschikbaar op GitHub. Wat is er onder andere nodig:
firefox.admxmozilla.admxfirefox.admlmozilla.adml
De bestanden kunnen worden gedownload van de Mozilla Policy Templates Repository of als policy_templates.zip.

Import templates
De ADMX- en ADML-bestanden worden gekopieerd naar het centrale PolicyDefinitions-pad.
Typisch lokaal pad:
C:\Windows\PolicyDefinitions
Als er een centrale opslag in het domein aanwezig is, wordt in plaats daarvan de map PolicyDefinitions onder SYSVOL gebruikt.

Configureer het Firefox-beleid
Het certificaat wordt vervolgens ingevoerd in het groepsbeleid onder het Firefox-beleid:
Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates
Werkwijze:
- Schakel het beleid Certificaten installeren in.
- Voer de bestandsnaam van het certificaat in, bijvoorbeeld
SecurityAppliance_SSL_CA.pem. - Kopieer het certificaatbestand via GPO of softwaredistributie naar de verwachte gebruikersprofielmap.

Afhankelijk van de Firefox-versie en beleidsconfiguratie worden certificaten uit deze mappen gelezen:
%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
Na de volgende Firefox-sessie zou het certificaat zichtbaar moeten zijn in Firefox Certificate Manager.

Mozilla documenteert aanvullende paden en varianten in de wiki: Voeg rootcertificaat toe aan Firefox.
Functie controleren
After distribution, you should not only check whether the certificate exists. Waar het om gaat is of TLS Inspection goed werkt.
Nuttige testen:
- Start de testclient opnieuw of log de gebruiker opnieuw in.
- Browser opent en een HTTPS-pagina opent de verbinding met de Sophos Firewall.
- Bekijk het certificaat van de website in de browser.
- Controleer of de certificaatketen via
SecurityAppliance_SSL_CAof exact de geselecteerde Sophos CA loopt. - Controleer op de firewall in Log Viewer > SSL/TLS inspection of het verkeer als gedecodeerd wordt weergegeven en welke regel of actie is ondernomen.
- Test belangrijke bedrijfsapplicaties, updateservices, samenwerkingstools en identiteitsproviders.
Als de browser het originele certificaat van de openbare website blijft weergeven, is deze verbinding niet gedecodeerd. Dan is óf geen geschikte SSL/TLS Inspectionregel van toepassing, wint een uitzondering, loopt het verkeer over een ander pad of omzeilt QUIC/HTTP/3 het verwachte TCP-pad.
Als de browserwaarschuwing verdwijnt maar applicaties fouten blijven vertonen, ligt het probleem vaak niet bij het certificaat zelf. Het vastzetten van certificaten, ontbrekende TLS-uitzonderingen, een onjuist decoderingsprofiel of een ongeschikte SSL/TLS Inspectionregel zijn vaak de oorzaak.
Bij webverkeer moet ook worden gecontroleerd of QUIC of HTTP/3 de verwachte controle omzeilt. In het artikel Sophos Firewall QUIC en HTTP/3 correct blokkeren wordt uitgelegd waarom het Blokkeer QUIC protocol relevant blijft bij webfiltering, malwarescans en TLS Inspection.
Typische fouten
- Browser toont nog steeds een certificaatwaarschuwing: De CA bevindt zich waarschijnlijk niet in de juiste vertrouwensopslag. Controleer het Windows-, macOS- of Firefox-certificaatarchief.
- Chrome werkt, Firefox niet: Firefox kan zijn eigen certificaatarchief gebruiken. Controleer het Firefox-beleid of het Firefox-certificaatbeheer.
- Individuele toepassingen breken: Het vastzetten van certificaten of uw eigen certificaatcontrole is waarschijnlijk. TLS Inspection Log Viewer en vink uitzonderingen aan.
- Slechts enkele clients werken: De GPO werkt niet of is aan de verkeerde OU gekoppeld. Controleer
gpresulten GPO-link. - CA is geïnstalleerd, maar de waarschuwing blijft bestaan: De gedistribueerde CA komt mogelijk niet overeen met de CA in het decoderingsprofiel, in de SSL/TLS Inspection-instellingen of onder Algemene webinstellingen.
- DPI werkt, Web Proxy niet of omgekeerd: Beide paden kunnen anders worden geconfigureerd. Controleer geselecteerde CA, besturingspad en Log Viewer per bedrijfsmodus.
- Na CA-regeneratie zijn er waarschuwingen: De oude CA staat nog steeds op clients of de nieuwe CA ontbreekt. Verwijder de oude CA en distribueer een nieuwe CA.
- URL-feeds of webfilters werken niet zoals verwacht: Het HTTPS-pad is niet gedecodeerd. TLS Inspection en controleer het webbeleid.
- Certificaat is aanwezig, maar verkeer is niet gedecodeerd: Een geschikte SSL/TLS Inspectionregel ontbreekt of het verkeer gaat over het verkeerde DPI/webproxy-pad. Controleer TLS-uitrol, firewallregel en Log Viewer.
- Alleen mobiele apps of individuele clients falen: Eigen truststore, certificaatpinning of app-specifieke controle is waarschijnlijk. Vooral Android- en mobiele-app-verkeer moeten specifiek worden getest en indien nodig uitgesloten, in plaats van de CA breed en blind te verspreiden.
CA-rotatie en noodgeval
Een CA mag niet jarenlang onopgemerkt worden geëxploiteerd zonder dat de houdbaarheidsdatum, herkomst en distributie bekend zijn. Voor productieve omgevingen moet er een klein levenscyclusproces zijn.
Geplande wijziging:
- Bereid een nieuwe CA of nieuwe firewall-CA voor.
- Distribueer nieuwe CA naar een testgroep.
- Controleer TLS Inspection met testgroep.
- Distribueer nieuwe CA naar alle betrokken beheerde apparaten.
- Beheer firewallregels en decoderingsprofielen.
- Verwijder de oude CA pas als alle productieve apparaten de nieuwe CA hebben ontvangen.
Noodsituatie bij compromis:
- TLS Inspection indien nodig gecontroleerd beperken of tijdelijk deactiveren.
- Vervang de betrokken CA in de firewall.
- Rol de nieuwe CA uit via het gedefinieerde distributiekanaal.
- Verwijder oude CA uit alle truststores.
- Bekijk uitzonderingen, Log Viewer en betrokken applicaties.
- Documenteer wijzigingen in het incident- of wijzigingssysteem.
Belangrijk: Een gecompromitteerde CA is geen normaal certificaatprobleem. Als een aanvaller de privésleutel beheert, kunnen clients valse certificaten vertrouwen. Dan moet de oude CA consequent worden verwijderd.
Bediening en onderhoud
Het CA-certificaat moet onderdeel zijn van het operationele proces:
- Vervaldatum van het document en verantwoordelijke persoon.
- Voer alleen de geplande CA-regeneratie uit.
- Verwijder oude CA van clients na migratie.
- Controleer regelmatig de distributie via GPO of MDM.
- Documenteer en controleer periodiek TLS-uitzonderingen.
- Genereer de CA opnieuw in geval van apparaatverlies of CA-compromis.
Als u TLS Inspection wijzigt, moet u ook de betreffende firewallregels, decoderingsprofielen en uitsluitingslijsten controleren. Anders zal de client de CA vertrouwen, maar zal de firewall het gewenste verkeer nog steeds niet ontsleutelen.