Naar de inhoud
Avanet

Sophos Firewall CA-certificaat distribueren voor TLS Inspection

Wanneer een Sophos Firewall HTTPS-verbindingen decodeert via TLS Inspection- of HTTPS-scanning, maakt de firewall een nieuw certificaat aan voor de verbinding die wordt gecontroleerd en ondertekent dit met een lokale CA. Clients moeten deze CA vertrouwen, anders verschijnen er browserwaarschuwingen of verbreken applicaties de verbinding.

De ingebouwde CA SecurityAppliance_SSL_CA is standaard beschikbaar in Sophos Firewall. Deze CA kan worden gedownload op Certificates > Certificate authorities en worden gedistribueerd naar beheerde clients. Maar het is niet alleen belangrijk dat er een Sophos CA op de clients staat. De gedistribueerde CA moet overeenkomen met de CA die daadwerkelijk wordt gebruikt voor het opnieuw ondertekenen in de TLS Inspectionconfiguratie.

Afhankelijk van de bedrijfsmodus wordt deze selectie op verschillende plaatsen gecontroleerd: Voor op DPI gebaseerde SSL/TLS Inspectionregels is de CA onder Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings relevant. Voor de webproxy bevindt de CA voor HTTPS-scannen zich onder Web > General settings > HTTPS decryption and scanning. Als er een andere CA wordt geselecteerd dan degene die door de clients wordt vertrouwd, treden er certificaatfouten op, ook al werd over het algemeen een Sophos CA gedistribueerd.

Het artikel Sophos Firewall TLS Inspection correct ingevoerd beschrijft de gehele uitrol. Deze handleiding richt zich op het distribueren van het CA-certificaat naar Windows, macOS en Firefox.

Wat dit certificaat doet

Het Sophos Firewall CA-certificaat is geen servercertificaat voor WebAdmin, WAF of VPN Portal. Het is de vertrouwensbasis waarmee clients de HTTPS-verbindingen accepteren die opnieuw door de firewall zijn ondertekend.

De scheiding is belangrijk:

  • Firewall CA: ondertekent nieuw gegenereerde certificaten tijdens TLS Inspection.
  • CA opnieuw ondertekenen of HTTPS CA scannen: de specifiek geselecteerde CA die de firewall gebruikt in DPI-modus of webproxymodus.
  • Client Trust Store: beslist of browsers en applicaties deze CA vertrouwen.
  • SSL/TLS Inspectionregel: bepaalt welk verkeer wordt gedecodeerd.
  • Decryptieprofiel: bepaalt hoe strikt met certificaten, TLS-versies en fouten wordt omgegaan.
  • Uitsluitingslijst: voorkomt decodering voor problematische of opzettelijk uitgesloten doelen.

Alleen de CA-distributie activeert TLS Inspection niet. De distributie voorkomt alleen dat beheerde clients certificaatwaarschuwingen weergeven voor gedecodeerd HTTPS-verkeer. Of verkeer daadwerkelijk wordt gedecodeerd, hangt af van firewallregels, webbeleid, SSL/TLS Inspectionregels, decoderingsprofielen en uitzonderingen.

Bovendien vervangt CA-distributie geen schone protocolcontrole. SSL/TLS Inspectionregels hebben toegang tot TCP-verkeer. Als het webverkeer via QUIC of HTTP/3 op UDP 443 loopt, ziet de controle er anders uit en moet deze afzonderlijk worden behandeld.

Vóór de uitrol

Vóór distributie moet duidelijk zijn welke cliënten TLS Inspection moeten gebruiken. Een CA-certificaat hoort niet ongecontroleerd op elk apparaat thuis, maar specifiek op beheerde bedrijfsclients.

Bereiding:

  • Definieer testgroep of test-OE.
  • Verduidelijk de bedrijfsmodus: DPI-modus, webproxy of beide varianten.
  • Documenteer de geselecteerde CA in decryptieprofiel, SSL/TLS Inspection-instellingen en algemene webinstellingen.
  • Document terugdraaien en uitzonderingsproces.
  • Download CA-certificaat alleen vanuit uw eigen firewall.
  • Test de distributie eerst op een paar apparaten.
  • Controleer browsers, bedrijfsapplicaties en updates na distributie.
  • Evalueer mobiele apparaten en apps afzonderlijk met hun eigen truststore of certificaatpinning.
  • Verwijder oude of niet meer gebruikte CA-certificaten uit de Client Trust Store.

⚠️ Let op: Als de CA of privésleutel is gecompromitteerd, is herverdeling niet voldoende. Vervolgens moet de CA op de firewall opnieuw worden gegenereerd, opnieuw worden gedistribueerd en moet de oude CA van de clients worden verwijderd.

Selecteer distributieroute

Het juiste distributiepad is afhankelijk van de manier waarop de apparaten worden beheerd.

  • Windows Domain Clients: Gebruik GPO in Trusted Root Certification Authorities. Dit is de schoonste manier voor klassieke Active Directory-omgevingen.
  • Windows zonder domein: Gebruik MDM, Intune of lokale import. Lokale import is geschikter voor tests of individuele apparaten.
  • macOS: Gebruik MDM-profiel of sleutelhanger System. Handmatige installatie is meer geschikt voor test- of kleine omgevingen.
  • Firefox: Gebruik Windows Trust Store of implementeer Mozilla Enterprise Policies. Het gedrag van Firefox moet afzonderlijk worden gecontroleerd.
  • BYOD of persoonlijke apparaten: worden normaal gesproken niet verspreid. TLS Inspection behoort tot beheerde bedrijfsapparaten.
  • Server: alleen distribueren naar doelbewust geteste serverworkloads. Uitgaand serververkeer kan andere risico’s en uitzonderingen met zich meebrengen.

Voor productieve activiteiten is het van cruciaal belang dat dezelfde uitrol later kan worden teruggedraaid. Iedereen die de CA verspreidt via GPO, MDM of beleid, moet daarom ook de intrekking van de oude CA testen.

Sophos Firewall CA downloaden

Op de Sophos Firewall wordt het certificaat gedownload in de webinterface:

  1. Meld u als beheerder aan bij Sophos Firewall.
  2. Certificates > Certificate authorities openen.
  3. Zoek de CA SecurityAppliance_SSL_CA of de bewust gebruikte eigen CA.
  4. Download het certificaat met behulp van het downloadsymbool.
  5. Controleer vervolgens of dezelfde CA is geselecteerd in de actieve TLS Inspectionconfiguratie.
Download het Sophos SSL CA-certificaat
Download de Sophos Firewall CA voor HTTPS scannen en TLS Inspection

Het certificaat is dan doorgaans beschikbaar als SecurityAppliance_SSL_CA.pem. Dit bestand bevat het openbare deel van de CA en kan naar klanten worden gedistribueerd. De privésleutel mag niet onder clients worden verdeeld.

Het bestand moet worden behandeld als een beveiligingsgerelateerd configuratie-item. Het publieke deel is geen wachtwoord, maar definieert welke CA-clients in de toekomst zullen vertrouwen. Het bestand moet daarom uit uw eigen productieve firewall komen, een versienummer hebben of in ieder geval traceerbaar worden opgeslagen en niet worden hergebruikt uit oude projecten.

Er zijn twee extra paden voor het controleren van de actieve CA:

  • DPI-modus: Open Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings en vergelijk de daar geselecteerde CA met het gedownloade bestand.
  • Open Web Proxy: Web > General settings > HTTPS decryption and scanning en controleer de HTTPS-scanCA.

This check prevents a common rollout error: the standard CA is distributed on the clients, while the firewall is already using a different CA in a decryption policy or in the web proxy.

Windows: Certificaat distribueren via GPO

In Active Directory-omgevingen is een groepsbeleid de schoonste manier. Edge, Chrome en veel Windows-applicaties vertrouwen op het Windows-certificaatarchief.

Aanbevolen pad in Groepsbeleidsbeheer:

Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates

Werkwijze:

  1. Open Groepsbeleidsbeheer op een domeincontroller of beheerdersclient.
  2. Gebruik het bestaande GPO voor de clientbasislijn of maak een nieuw GPO voor de TLS Inspectiontestgroep.
  3. Ga naar pad Trusted Root Certification Authorities > Certificates.
  4. Klik met de rechtermuisknop in de certificaatlijst.
  5. Selecteer All Tasks > Import.
  6. Importeer SecurityAppliance_SSL_CA.pem.
  7. Associate GPO only with the desired OU or security group.
  8. Voer gpupdate /force uit op een testclient of wacht op de reguliere update.
Importeer Sophos CA in vertrouwde rootcertificeringsinstanties via GPO
Distributie van de Sophos Firewall CA via vertrouwde basiscertificeringsinstanties

Voor productieomgevingen mag het GPO niet rechtstreeks op alle computers worden toegepast. Een test-OE verkleint het risico als een certificaat verkeerd wordt geïmporteerd of een applicatie onverwacht reageert.

Windows: certificaat lokaal installeren

Het certificaat kan lokaal worden geïmporteerd voor individuele testapparaten. Er zijn twee verstandige varianten:

  • Lokale computerwinkel: is van toepassing op alle gebruikers op het apparaat en is meestal correct voor beheerde clients.
  • Huidige gebruikerswinkel: geldt alleen voor de ingelogde gebruiker en is soms voldoende om te testen.

For the local computer:

  1. Meld u aan als lokale beheerder.
  2. Start certlm.msc.
  3. Trusted Root Certification Authorities > Certificates openen.
  4. Right-click in the certificate list.
  5. Selecteer All Tasks > Import.
  6. Importeer SecurityAppliance_SSL_CA.pem.

Als alternatief kan certmgr.msc voor de huidige gebruiker worden gebruikt.

Importeer Sophos CA op een Windows-client
Lokale import van de Sophos Firewall CA in het Windows-certificaatarchief

Na het importeren moeten browsers en applicaties opnieuw worden opgestart. Voor sommige toepassingen is het zinvol om uit te loggen of de client opnieuw op te starten.

macOS: vertrouwenscertificaat in sleutelhanger

Op macOS wordt het certificaat geïmporteerd via Keychain Access.

Werkwijze:

  1. Kopieer SecurityAppliance_SSL_CA.pem naar de Mac.
  2. Open het certificaat door te dubbelklikken.
  3. Implementeren in Keychain Systeem of een beheerd MDM-profiel.
  4. Open het certificaat en stel onder Vertrouwen de optie Altijd vertrouwen in.
  5. Bevestig de wijziging met een beheerdersaccount.
  6. Start de browser en de betrokken applicaties opnieuw.
Vertrouw op Sophos CA in macOS-sleutelhangertoegang
macOS-sleutelhangerbeheer: Sophos Firewall CA als betrouwbaar markeren

In grotere macOS-omgevingen zou distributie via MDM moeten plaatsvinden. Handmatige installatie is meer geschikt voor testen of individuele apparaten.

Controleer het certificaat op beheerde apparaten

Na distributie dient u op minimaal één testapparaat per platform te controleren of de CA daadwerkelijk in de juiste truststore terecht is gekomen.

  • Windows Computer Store: Open certlm.msc en zoek onder Trusted Root Certification Authorities > Certificates.
  • Windows Huidige gebruikerswinkel: Open certmgr.msc en controleer de gebruikersvertrouwensopslag.
  • macOS: Open Keychain Access en controleer de vertrouwensstatus in de Systeem-sleutelhanger.
  • Firefox: Open Settings > Privacy & Security > Certificates > View Certificates.

Als een certificaat alleen in het gebruikersarchief staat, maar een applicatie het computerarchief verwacht, kan de browser werken en kan een andere applicatie nog steeds certificaatfouten weergeven. Omgekeerd kunnen browsers met een eigen truststore de Windows- of macOS-distributie negeren als ze niet dienovereenkomstig zijn geconfigureerd.

Firefox op Windows

Afhankelijk van de configuratie kan Firefox zijn eigen certificaatarchieven gebruiken. In Windows-omgevingen zijn er twee veel voorkomende manieren:

  • Configureer Firefox om Windows Root CA’s te gebruiken.
  • Distribueer certificaten via Mozilla Enterprise Policies.

De tweede variant is zinvol in omgevingen waarin Firefox centraal via GPO wordt aangestuurd.

Firefox GPO-sjablonen downloaden

Mozilla stelt de beleidssjablonen beschikbaar op GitHub. Wat is er onder andere nodig:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

De bestanden kunnen worden gedownload van de Mozilla Policy Templates Repository of als policy_templates.zip.

Mozilla Firefox GPO-beleidssjabloonbestanden
Mozilla-beleidssjablonen voor Firefox-groepsbeleid

Import templates

De ADMX- en ADML-bestanden worden gekopieerd naar het centrale PolicyDefinitions-pad.

Typisch lokaal pad:

C:\Windows\PolicyDefinitions

Als er een centrale opslag in het domein aanwezig is, wordt in plaats daarvan de map PolicyDefinitions onder SYSVOL gebruikt.

Kopieer Firefox ADMX- en ADML-bestanden naar PolicyDefinitions
Geef Firefox-beleidssjablonen op in PolicyDefinitions

Configureer het Firefox-beleid

Het certificaat wordt vervolgens ingevoerd in het groepsbeleid onder het Firefox-beleid:

Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates

Werkwijze:

  1. Schakel het beleid Certificaten installeren in.
  2. Voer de bestandsnaam van het certificaat in, bijvoorbeeld SecurityAppliance_SSL_CA.pem.
  3. Kopieer het certificaatbestand via GPO of softwaredistributie naar de verwachte gebruikersprofielmap.
Firefox GPO voor Sophos CA Zertifikat-configuratie
Firefox GPO: Sophos Firewall Geef CA aan de browser

Afhankelijk van de Firefox-versie en beleidsconfiguratie worden certificaten uit deze mappen gelezen:

%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates

Na de volgende Firefox-sessie zou het certificaat zichtbaar moeten zijn in Firefox Certificate Manager.

Firefox-certificaatbeheer met Sophos CA
Firefox-certificaatbeheer: Controleer of de Sophos Firewall CA is geïmporteerd

Mozilla documenteert aanvullende paden en varianten in de wiki: Voeg rootcertificaat toe aan Firefox.

Functie controleren

After distribution, you should not only check whether the certificate exists. Waar het om gaat is of TLS Inspection goed werkt.

Nuttige testen:

  1. Start de testclient opnieuw of log de gebruiker opnieuw in.
  2. Browser opent en een HTTPS-pagina opent de verbinding met de Sophos Firewall.
  3. Bekijk het certificaat van de website in de browser.
  4. Controleer of de certificaatketen via SecurityAppliance_SSL_CA of exact de geselecteerde Sophos CA loopt.
  5. Controleer op de firewall in Log Viewer > SSL/TLS inspection of het verkeer als gedecodeerd wordt weergegeven en welke regel of actie is ondernomen.
  6. Test belangrijke bedrijfsapplicaties, updateservices, samenwerkingstools en identiteitsproviders.

Als de browser het originele certificaat van de openbare website blijft weergeven, is deze verbinding niet gedecodeerd. Dan is óf geen geschikte SSL/TLS Inspectionregel van toepassing, wint een uitzondering, loopt het verkeer over een ander pad of omzeilt QUIC/HTTP/3 het verwachte TCP-pad.

Als de browserwaarschuwing verdwijnt maar applicaties fouten blijven vertonen, ligt het probleem vaak niet bij het certificaat zelf. Het vastzetten van certificaten, ontbrekende TLS-uitzonderingen, een onjuist decoderingsprofiel of een ongeschikte SSL/TLS Inspectionregel zijn vaak de oorzaak.

Bij webverkeer moet ook worden gecontroleerd of QUIC of HTTP/3 de verwachte controle omzeilt. In het artikel Sophos Firewall QUIC en HTTP/3 correct blokkeren wordt uitgelegd waarom het Blokkeer QUIC protocol relevant blijft bij webfiltering, malwarescans en TLS Inspection.

Typische fouten

  • Browser toont nog steeds een certificaatwaarschuwing: De CA bevindt zich waarschijnlijk niet in de juiste vertrouwensopslag. Controleer het Windows-, macOS- of Firefox-certificaatarchief.
  • Chrome werkt, Firefox niet: Firefox kan zijn eigen certificaatarchief gebruiken. Controleer het Firefox-beleid of het Firefox-certificaatbeheer.
  • Individuele toepassingen breken: Het vastzetten van certificaten of uw eigen certificaatcontrole is waarschijnlijk. TLS Inspection Log Viewer en vink uitzonderingen aan.
  • Slechts enkele clients werken: De GPO werkt niet of is aan de verkeerde OU gekoppeld. Controleer gpresult en GPO-link.
  • CA is geïnstalleerd, maar de waarschuwing blijft bestaan: De gedistribueerde CA komt mogelijk niet overeen met de CA in het decoderingsprofiel, in de SSL/TLS Inspection-instellingen of onder Algemene webinstellingen.
  • DPI werkt, Web Proxy niet of omgekeerd: Beide paden kunnen anders worden geconfigureerd. Controleer geselecteerde CA, besturingspad en Log Viewer per bedrijfsmodus.
  • Na CA-regeneratie zijn er waarschuwingen: De oude CA staat nog steeds op clients of de nieuwe CA ontbreekt. Verwijder de oude CA en distribueer een nieuwe CA.
  • URL-feeds of webfilters werken niet zoals verwacht: Het HTTPS-pad is niet gedecodeerd. TLS Inspection en controleer het webbeleid.
  • Certificaat is aanwezig, maar verkeer is niet gedecodeerd: Een geschikte SSL/TLS Inspectionregel ontbreekt of het verkeer gaat over het verkeerde DPI/webproxy-pad. Controleer TLS-uitrol, firewallregel en Log Viewer.
  • Alleen mobiele apps of individuele clients falen: Eigen truststore, certificaatpinning of app-specifieke controle is waarschijnlijk. Vooral Android- en mobiele-app-verkeer moeten specifiek worden getest en indien nodig uitgesloten, in plaats van de CA breed en blind te verspreiden.

CA-rotatie en noodgeval

Een CA mag niet jarenlang onopgemerkt worden geëxploiteerd zonder dat de houdbaarheidsdatum, herkomst en distributie bekend zijn. Voor productieve omgevingen moet er een klein levenscyclusproces zijn.

Geplande wijziging:

  1. Bereid een nieuwe CA of nieuwe firewall-CA voor.
  2. Distribueer nieuwe CA naar een testgroep.
  3. Controleer TLS Inspection met testgroep.
  4. Distribueer nieuwe CA naar alle betrokken beheerde apparaten.
  5. Beheer firewallregels en decoderingsprofielen.
  6. Verwijder de oude CA pas als alle productieve apparaten de nieuwe CA hebben ontvangen.

Noodsituatie bij compromis:

  1. TLS Inspection indien nodig gecontroleerd beperken of tijdelijk deactiveren.
  2. Vervang de betrokken CA in de firewall.
  3. Rol de nieuwe CA uit via het gedefinieerde distributiekanaal.
  4. Verwijder oude CA uit alle truststores.
  5. Bekijk uitzonderingen, Log Viewer en betrokken applicaties.
  6. Documenteer wijzigingen in het incident- of wijzigingssysteem.

Belangrijk: Een gecompromitteerde CA is geen normaal certificaatprobleem. Als een aanvaller de privésleutel beheert, kunnen clients valse certificaten vertrouwen. Dan moet de oude CA consequent worden verwijderd.

Bediening en onderhoud

Het CA-certificaat moet onderdeel zijn van het operationele proces:

  • Vervaldatum van het document en verantwoordelijke persoon.
  • Voer alleen de geplande CA-regeneratie uit.
  • Verwijder oude CA van clients na migratie.
  • Controleer regelmatig de distributie via GPO of MDM.
  • Documenteer en controleer periodiek TLS-uitzonderingen.
  • Genereer de CA opnieuw in geval van apparaatverlies of CA-compromis.

Als u TLS Inspection wijzigt, moet u ook de betreffende firewallregels, decoderingsprofielen en uitsluitingslijsten controleren. Anders zal de client de CA vertrouwen, maar zal de firewall het gewenste verkeer nog steeds niet ontsleutelen.

Veelgestelde vragen

Waarom heeft u het CA-certificaat Sophos Firewall nodig?

De firewall ondertekent gedecodeerde HTTPS-verbindingen met een lokale CA. Clients moeten deze CA vertrouwen voordat browsers en applicaties de verbinding accepteren.

Moet het certificaat op servers worden geïnstalleerd?

Meestal gaat het om clients die vanuit het interne netwerk toegang hebben tot internet. Servers hebben het certificaat alleen nodig als hun uitgaand HTTPS-verkeer ook via TLS Inspection gecontroleerd moet worden.

Moet u Sophos CA op privéapparaten installeren?

In de regel niet. TLS Inspection hoort thuis op beheerde bedrijfsapparaten met duidelijk beleid, ondersteuningsproces en beoordeling van gegevensbescherming.

Wat gebeurt er als de Sophos CA wordt geregenereerd?

Clients blijven dan de oude CA vertrouwen, maar niet automatisch de nieuwe. Na de migratie moet de nieuwe CA worden gedistribueerd en de oude CA worden verwijderd.

Is de CA-verdeling voldoende voor TLS Inspection?

Nee. Daarnaast zijn passende firewallregels, webbeleid, SSL/TLS Inspectionregels, decoderingsprofielen, uitzonderingen en logboekregistratie vereist.

Waarom blijft de browser het originele openbare certificaat weergeven?

Dan is deze verbinding waarschijnlijk niet ontsleuteld. Vaak is er geen geschikte SSL/TLS Inspectionregel van toepassing, is een uitzondering sterker, neemt QUIC of HTTP/3 een ander pad of gaat het verkeer niet door de verwachte firewallregel.