Sophos Firewall CA-certificaat voor HTTPS Scanning installeren (SFOS)

Als je op Sophos Firewall HTTPS Traffic wilt scannen, moet je op de clients het Sophos SSL Proxy-certificaat importeren, zodat er geen foutmelding in de browser verschijnt. In deze handleiding laten we zien hoe je dit certificaat voor Internet Explorer, Edge, Firefox en Google Chrome kunt inrichten.

Sophos SSL CA downloaden

Meld je als administrator aan op je Sophos Firewall (SFOS) en ga via het menu naar Certificates > Certificate authorities (CA). Klik daarna op het download-icoon naast SecurityAppliance_SSL_CA.

Het certificaat vind je daarna onder de naam SecurityAppliance_SSL_CA.pem op je harde schijf.

Certificaat via GPO distribueren (IE, Edge, Chrome)

De eenvoudigste manier om het certificaat naar alle computers in het netwerk te distribueren, is via een Group Policy in een domein. Als je geen domein hebt, kun je verderop de handleiding voor lokale installatie op Windows en macOS bekijken. We leggen hier eerst uit hoe distributie van het certificaat voor Internet Explorer, Edge en Google Chrome werkt. Omdat Firefox een eigen certificaatbeheer heeft, is de werkwijze daar iets anders. Dit beschrijven we verderop in dit artikel.

1. Meld je eerst aan op je Active Directory-server.
2. Open Groepsbeleidsbeheer, kies een policy en ga naar Vertrouwde basiscertificeringsinstanties > Certificaten.
3. Klik daarna met de rechtermuisknop in een lege zone in de rechterkolom om het contextmenu te openen. Kies vervolgens Alle taken > Importeren....
4. Volg de korte importassistent en selecteer het certificaat SecurityAppliance_SSL_CA.pem.

Certificaat op een lokale Windows-computer installeren

Als je het certificaat op een losse Windows-computer wilt importeren, is de werkwijze vrijwel hetzelfde als wanneer je het certificaat op de Active Directory-server zou inlezen.

1. Meld je aan op je lokale Windows-computer.
2. Open via het Startmenu het programma certmgr.msc en ga naar Vertrouwde basiscertificeringsinstanties > Certificaten.
3. Klik daarna met de rechtermuisknop in een lege zone in de rechterkolom om het contextmenu te openen. Kies vervolgens Alle taken > Importeren....
4. Volg de korte importassistent en selecteer het certificaat SecurityAppliance_SSL_CA.pem.

Certificaat op een lokale Mac installeren

Op een Mac is de installatie ook heel eenvoudig. Daar worden certificaten immers in Keychain beheerd.

1. Open het certificaat SecurityAppliance_SSL_CA.pem met een dubbelklik. Daarna wordt automatisch Keychain geopend.
2. Zet de status voor dit certificaat op Altijd vertrouwen.
3. Daarna kun je het venster sluiten en moet je ter bevestiging nog je adminwachtwoord invoeren.

Certificaat via GPO voor Mozilla Firefox installeren (Windows)

De Firefox-browser van Mozilla heeft een eigen certificaatbeheer en daarom werken de hierboven beschreven methoden helaas niet. Wie dus met Firefox op internet surft, moet hier een wat omslachtigere installatie van het certificaat accepteren.

1. Firefox GPO-template downloaden

Mozilla stelt de GPO-templates voor Firefox op GitHub beschikbaar. Je hebt de volgende bestanden nodig:

• firefox.admx
• mozilla.admx
• firefox.adml
• mozilla.adml

Deze bestanden kun je afzonderlijk downloaden uit de Github Mozilla Repository. Of je downloadt meteen de volledige policy_templates.zip, waarin alle bestanden voor Windows en macOS in verschillende talen zitten.

2. Templates op Windows importeren

Daarna moeten deze .admx- en .adml-bestanden nog op de Active Directory-server naar de juiste map worden gekopieerd, zodat ze later als template in de Group Policy Management Editor zichtbaar zijn. Let erop dat je bent aangemeld met een gebruiker die voldoende rechten heeft.

1. Open Windows Explorer en ga naar het pad C:\Windows\PolicyDefinitions. Als je rootpartitie niet de driveletter C: heeft, kun je het pad ook via een variabele openen: %systemroot%\PolicyDefinitions.
2. Kopieer de twee documenten firefox.adml en mozilla.adml naar deze map.
3. De bestanden firefox.admx en mozilla.admx zijn in verschillende talen beschikbaar en horen in de betreffende submap de-DE of en-US.

3. Policy maken

1. Open nu in de Group Policy Management Editor Beheersjablonen > Mozilla > Firefox > Certificaten > Install Certificates.
2. Activeer de policy en voeg de naam toe van het certificaatbestand dat je eerder van je firewall hebt gedownload. Op het moment van deze handleiding is de naam SecurityAppliance_SSL_CA.pem.

4. Certificaat naar Windows-computer kopiëren

Zodat het certificaat bij het starten van de browser wordt geïmporteerd, moet het .pem-bestand naar het gebruikersprofiel worden gekopieerd. Dit kun je eveneens via GPO doen. Het certificaat SecurityAppliance_SSL_CA.pem moet naar de volgende twee mappen worden gekopieerd:

• %USERPROFILE%\AppData\Local\Mozilla\Certificates
• %USERPROFILE%\AppData\Roaming\Mozilla\Certificates

5. Firefox-certificaatbeheer controleren

Om te controleren of alles gelukt is, kun je via de instellingen in Firefox de certificaatbeheerder openen. Onder de tab Certificeringsinstanties zou je nu het Sophos-certificaat moeten zien.

Info: Als je het certificaat op een macOS- of Linux-systeem wilt importeren, vind je de systeempaden op de volgende pagina: Mozilla Wiki - Add Root Certificate to Firefox