Przejdz do tresci
Avanet

Instalacja certyfikatu CA Sophos Firewall dla HTTPS scanning

Sophos Firewall

Jeśli na Sophos Firewall chcesz skanować ruch HTTPS, na klientach trzeba zaimportować certyfikat Sophos SSL Proxy, aby w przeglądarce nie pojawiały się błędy certyfikatu. W tej instrukcji pokazujemy, jak skonfigurować ten certyfikat dla Internet Explorer, Edge, Firefox i Google Chrome.

Pobieranie Sophos SSL CA

Zaloguj się jako administrator do Sophos Firewall (SFOS) i przejdź w menu do Certificates > Certificate authorities (CA). Następnie kliknij ikonę pobierania obok SecurityAppliance_SSL_CA.

Pobieranie certyfikatu Sophos SSL CA

Certyfikat znajdziesz następnie na dysku pod nazwą SecurityAppliance_SSL_CA.pem.

Dystrybucja certyfikatu przez GPO (IE, Edge, Chrome)

Najprostszym sposobem dystrybucji certyfikatu na wszystkie komputery w sieci jest użycie zasad grupy w domenie. Jeśli nie masz domeny, niżej znajdziesz instrukcję instalacji lokalnej dla Windows i macOS. Najpierw opisujemy dystrybucję certyfikatu dla przeglądarek Internet Explorer, Edge i Google Chrome. Ponieważ Firefox ma własne zarządzanie certyfikatami, procedura wygląda tam trochę inaczej i została opisana w dalszej części artykułu.

  1. Najpierw zaloguj się na serwer Active Directory.
  2. Otwórz Group Policy Management, wybierz odpowiednią zasadę i przejdź do katalogu Trusted Root Certification Authorities > Certificates.
  3. Kliknij prawym przyciskiem myszy pusty obszar w prawej kolumnie, aby otworzyć menu kontekstowe. Następnie wybierz All Tasks > Import....
  4. Przejdź przez krótki kreator importu i wybierz certyfikat SecurityAppliance_SSL_CA.pem.
Zaufane główne urzędy certyfikacji w zasadach grupy

Instalacja certyfikatu na lokalnym komputerze Windows

Jeśli chcesz zaimportować certyfikat na pojedynczym komputerze Windows, procedura jest praktycznie taka sama jak przy imporcie certyfikatu na serwerze Active Directory.

  1. Zaloguj się na lokalnym komputerze Windows.
  2. Otwórz z menu Start program certmgr.msc i przejdź do katalogu Trusted Root Certification Authorities > Certificates.
  3. Kliknij prawym przyciskiem myszy pusty obszar w prawej kolumnie, aby otworzyć menu kontekstowe. Następnie wybierz All Tasks > Import....
  4. Przejdź przez krótki kreator importu i wybierz certyfikat SecurityAppliance_SSL_CA.pem.
Zaufane główne urzędy certyfikacji w Windows

Instalacja certyfikatu na lokalnym komputerze Mac

Na komputerze Mac instalacja jest również bardzo prosta. Certyfikaty są tam zarządzane w Keychain.

  1. Otwórz certyfikat SecurityAppliance_SSL_CA.pem podwójnym kliknięciem. Automatycznie otworzy się Keychain.
  2. Ustaw dla tego certyfikatu status Always Trust.
  3. Następnie zamknij okno i potwierdź zmianę hasłem administratora.
macOS Keychain - zaufanie certyfikatowi

Instalacja certyfikatu przez GPO dla Mozilla Firefox (Windows)

Przeglądarka Firefox od Mozilli ma własne zarządzanie certyfikatami, dlatego opisane wyżej metody niestety nie działają. Jeśli użytkownicy korzystają z Firefoksa, trzeba zastosować nieco bardziej rozbudowaną instalację certyfikatu.

1. Pobieranie szablonu GPO dla Firefox

Mozilla udostępnia szablony GPO dla Firefox na GitHubie. Potrzebujesz następujących plików:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Możesz pobrać te pliki pojedynczo z repozytorium Mozilli na GitHubie. Możesz też pobrać kompletny plik policy_templates.zip, który zawiera wszystkie pliki dla Windows i macOS w różnych językach.

Pliki szablonu GPO Firefox z GitHuba

2. Import szablonów w Windows

Następnie pliki .admx i .adml trzeba skopiować na serwer Active Directory do właściwego folderu, aby były później widoczne jako szablony w edytorze zarządzania zasadami grupy. Upewnij się, że logujesz się użytkownikiem z odpowiednimi uprawnieniami.

  1. Otwórz Windows Explorer i przejdź do ścieżki C:\Windows\PolicyDefinitions. Jeśli partycja systemowa nie ma litery C:, możesz użyć zmiennej: %systemroot%\PolicyDefinitions.
  2. Skopiuj do tego folderu oba dokumenty firefox.adml i mozilla.adml.
  3. Pliki firefox.admx i mozilla.admx są dostępne w różnych językach i należą do odpowiedniego podfolderu, na przykład de-DE lub en-US.
Instalacja certyfikatów Firefox przez szablony GPO

3. Utworzenie zasady

  1. W Group Policy Management Editor otwórz Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates.
  2. Włącz zasadę i dodaj nazwę pliku certyfikatu, który wcześniej pobrano z firewalla. W chwili tworzenia tej instrukcji nazwa brzmi SecurityAppliance_SSL_CA.pem.
GPO dla Firefox

4. Skopiowanie certyfikatu na komputer Windows

Aby certyfikat został zaimportowany przy uruchomieniu przeglądarki, plik .pem musi zostać skopiowany do profilu użytkownika. Możesz zrobić to również przez GPO. Certyfikat SecurityAppliance_SSL_CA.pem trzeba skopiować do następujących dwóch katalogów:

  • %USERPROFILE%\AppData\Local\Mozilla\Certificates
  • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates

5. Sprawdzenie zarządzania certyfikatami w Firefox

Aby sprawdzić, czy wszystko zadziałało, otwórz w ustawieniach Firefox Certificate Manager. W zakładce Authorities powinien być widoczny certyfikat Sophos.

Zarządzanie certyfikatami Firefox z certyfikatem Sophos

Informacja: Jeśli chcesz zaimportować certyfikat w systemie macOS lub Linux, ścieżki systemowe znajdziesz na stronie: Mozilla Wiki - Add Root Certificate to Firefox