Rozprowadź certyfikat CA Sophos Firewall dla TLS Inspection
Kiedy Sophos Firewall odszyfrowuje połączenia HTTPS poprzez skanowanie TLS Inspection lub HTTPS, zapora tworzy nowy certyfikat dla sprawdzanego połączenia i podpisuje go w lokalnym urzędzie certyfikacji. Klienci muszą ufać temu urzędowi certyfikacji, w przeciwnym razie pojawią się ostrzeżenia przeglądarki lub aplikacje rozłączą połączenie.
Wbudowany CA SecurityAppliance_SSL_CA jest dostępny standardowo w Sophos Firewall. Ten urząd certyfikacji można pobrać pod adresem Certificates > Certificate authorities i rozpowszechnić wśród zarządzanych klientów. Ale nie tylko ważne jest, aby na klientach znajdował się Sophos CA. Rozproszony urząd certyfikacji musi odpowiadać urzędowi certyfikacji faktycznie używanemu do ponownego podpisania w konfiguracji inspekcji TLS.
W zależności od trybu pracy, ten wybór jest sprawdzany w różnych miejscach: W przypadku reguł SSL/TLS Inspection opartych na DPI, odpowiedni jest urząd certyfikacji w Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings. W przypadku internetowego serwera proxy urząd certyfikacji skanujący HTTPS znajduje się pod adresem Web > General settings > HTTPS decryption and scanning. Jeśli zostanie wybrany inny urząd certyfikacji niż ten, któremu klienci ufają, wystąpią błędy certyfikatu, mimo że ogólnie dostępny był urząd certyfikacji Sophos.
Artykuł Sophos Firewall TLS Inspection wprowadza poprawnie opisuje całe wdrożenie. Ten przewodnik koncentruje się na dystrybucji certyfikatu CA w systemach Windows, macOS i Firefox.
Do czego służy ten certyfikat
Certyfikat Sophos Firewall CA nie jest certyfikatem serwera dla WebAdmin, WAF lub VPN Portal. Jest to podstawa zaufania, z jakim klienci akceptują połączenia HTTPS ponownie podpisane przez firewall.
Oddzielenie jest ważne:
- Firewall CA: podpisuje nowo wygenerowane certyfikaty podczas TLS Inspection.
- Ponowne podpisanie urzędu certyfikacji lub HTTPS Skanowanie urzędu certyfikacji: specjalnie wybrany urząd certyfikacji, który korzysta z zapory sieciowej w trybie DPI lub w trybie serwera proxy sieci Web.
- Client Trust Store: decyduje, czy przeglądarki i aplikacje ufają temu urzędowi certyfikacji.
- SSL/TLS Inspection Reguła: decyduje, który ruch ma być odszyfrowany.
- Profil deszyfrowania: określa, w jaki sposób certyfikaty, wersje TLS i błędy są obsługiwane.
- Lista wykluczeń: uniemożliwia odszyfrowanie problematycznych lub celowo wykluczonych celów.
Zatem sama dystrybucja CA nie aktywuje TLS Inspection. Dystrybucja uniemożliwia zarządzanym klientom wyświetlanie ostrzeżeń o certyfikatach dla odszyfrowanego ruchu HTTPS. To, czy ruch zostanie rzeczywiście odszyfrowany, zależy od reguł zapory sieciowej, zasad sieciowych, reguł SSL/TLS Inspection, profili deszyfrowania i wyjątków.
Ponadto dystrybucja CA nie zastępuje czystej kontroli protokołu. SSL/TLS Inspection Reguły uzyskują dostęp do ruchu TCP. Jeśli ruch sieciowy przebiega przez QUIC lub HTTP/3 na UDP 443, sprawdzenie wygląda inaczej i należy je potraktować osobno.
Przed wdrożeniem
Przed dystrybucją powinno być jasne, którzy klienci powinni używać TLS Inspection. Certyfikat urzędu certyfikacji nie należy do niekontrolowanych urządzeń na każdym urządzeniu, ale raczej na zarządzanych klientach firmy.
Przygotowanie:
- Zdefiniuj grupę testową lub testową jednostkę organizacyjną.
- Wyjaśnij tryb pracy: tryb DPI, serwer proxy sieci Web lub oba warianty.
- Dokument wybrany urząd certyfikacji w profilu deszyfrowania, ustawieniach inspekcji SSL/TLS i ustawieniach ogólnych sieci.
- Proces przywracania dokumentów i wyjątków.
- Pobierz certyfikat CA tylko z własnej zapory ogniowej.
- Najpierw przetestuj dystrybucję na kilku urządzeniach.
- Sprawdź przeglądarki, aplikacje biznesowe i aktualizacje po dystrybucji.
- Oceń urządzenia mobilne i aplikacje z własnym magazynem zaufanych certyfikatów lub oddzielnie przypinając certyfikat.
- Usuń stare lub nieużywane już certyfikaty CA z magazynu zaufania klienta.
⚠️ Uwaga: Jeśli urząd certyfikacji lub klucz prywatny zostały naruszone, redystrybucja nie wystarczy. Następnie należy zregenerować urząd certyfikacji na zaporze ogniowej, ponownie go rozdystrybuować, a stary urząd certyfikacji usunąć z klientów.
Wybierz trasę dystrybucji
Prawidłowa ścieżka dystrybucji zależy od sposobu zarządzania urządzeniami.
- Klienci domeny Windows: Użyj obiektu GPO w
Trusted Root Certification Authorities. Jest to najczystszy sposób dla klasycznych środowisk Active Directory. - Windows bez domeny: Użyj MDM, Intune lub importu lokalnego. Import lokalny jest bardziej odpowiedni do testów lub pojedynczych urządzeń.
- macOS: Użyj profilu MDM lub pęku kluczy
System. Instalacja ręczna jest bardziej odpowiednia do testowania lub małych środowisk. - Firefox: Użyj Windows Trust Store lub wprowadź zasady Mozilla Enterprise. Zachowanie Firefoksa należy sprawdzić osobno.
- BYOD lub urządzenia prywatne: normalnie nie dystrybuuj. TLS Inspection należy do zarządzanych urządzeń korporacyjnych.
- Serwer: dystrybuuj tylko do świadomie przetestowanych obciążeń serwera. Wychodzący ruch serwerowy może wiązać się z innymi zagrożeniami i wyjątkami.
Dla produktywnego działania istotne jest, aby to samo wdrożenie można było później cofnąć. Dlatego każdy, kto rozpowszechnia urząd certyfikacji za pośrednictwem obiektu GPO, MDM lub zasad, powinien również przetestować unieważnienie starego urzędu certyfikacji.
Pobierz Sophos Firewall CA
Na Sophos Firewall certyfikat jest pobierany w interfejsie internetowym:
- Zaloguj się jako administrator w Sophos Firewall.
- Otwórz Certificates > Certificate authorities.
- Znajdź urząd certyfikacji
SecurityAppliance_SSL_CAlub celowo użyty własny urząd certyfikacji. - Pobierz certyfikat za pomocą ikony pobierania.
- Następnie sprawdź, czy w aktywnej konfiguracji inspekcji TLS wybrano ten sam urząd certyfikacji.

Certyfikat jest wówczas zwykle dostępny jako SecurityAppliance_SSL_CA.pem. Ten plik zawiera publiczną część urzędu certyfikacji i może być rozpowszechniany wśród klientów. Klucz prywatny nie może być rozpowszechniany wśród klientów.
Plik należy traktować jako element konfiguracji związany z bezpieczeństwem. Część publiczna nie jest hasłem, ale określa, którym klientom urzędu certyfikacji będą ufać w przyszłości. Dlatego plik powinien pochodzić z Twojej własnej produktywnej zapory ogniowej, mieć wersję lub przynajmniej być przechowywany w sposób identyfikowalny i nie powinien być ponownie wykorzystywany w starych projektach.
Istnieją dwie dodatkowe ścieżki sprawdzania aktywnego urzędu certyfikacji:
- Tryb DPI: Otwórz Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings i porównaj wybrany tam urząd certyfikacji z pobranym plikiem.
- Web Proxy: Otwórz Web > General settings > HTTPS decryption and scanning i sprawdź urząd certyfikacji skanujący HTTPS.
To sprawdzenie zapobiega typowemu błędowi wdrażania: domyślny urząd certyfikacji jest dystrybuowany na klientach, podczas gdy zapora używa już innego urzędu certyfikacji w zasadach deszyfrowania lub w internetowym serwerze proxy.
Windows: Dystrybuuj certyfikat poprzez obiekt GPO
W środowiskach Active Directory najczystszą metodą są zasady grupowe. Edge, Chrome i wiele aplikacji Windows ufa magazynowi certyfikatów Windows.
Zalecana ścieżka w zarządzaniu zasadami grupy:
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates
Procedura:
- Otwórz Zarządzanie zasadami grupy na kontrolerze domeny lub kliencie administracyjnym.
- Użyj istniejącego obiektu GPO dla linii bazowej klienta lub utwórz nowy obiekt GPO dla grupy testowej inspekcji TLS.
- Przejdź do ścieżki Trusted Root Certification Authorities > Certificates.
- Kliknij prawym przyciskiem myszy listę certyfikatów.
- Wybierz All Tasks > Import.
SecurityAppliance_SSL_CA.pemimport.- Powiąż obiekt GPO tylko z żądaną jednostką organizacyjną lub grupą zabezpieczeń.
- Uruchom
gpupdate /forcena kliencie testowym lub poczekaj na regularną aktualizację.

W środowiskach produkcyjnych obiekt GPO nie powinien być stosowany bezpośrednio na wszystkich komputerach. Testowa jednostka organizacyjna zmniejsza ryzyko w przypadku nieprawidłowego zaimportowania certyfikatu lub nieoczekiwanej reakcji aplikacji.
Windows: Zainstaluj certyfikat lokalnie
Certyfikat można zaimportować lokalnie dla poszczególnych urządzeń testowych. Istnieją dwa rozsądne warianty:
- Lokalny sklep komputerowy: dotyczy wszystkich użytkowników urządzenia i jest w większości poprawny w przypadku zarządzanych klientów.
- Sklep bieżącego użytkownika: dotyczy tylko zalogowanego użytkownika i czasami jest wystarczający do testów.
W przypadku komputera lokalnego:
- Zaloguj się jako administrator lokalny.
certlm.mscstart.- Otwórz Trusted Root Certification Authorities > Certificates.
- Kliknij prawym przyciskiem myszy listę certyfikatów.
- Wybierz All Tasks > Import.
- Importuj
SecurityAppliance_SSL_CA.pem.
certmgr.msc może być użyte alternatywnie dla bieżącego użytkownika.

Po zaimportowaniu należy ponownie uruchomić przeglądarki i aplikacje. W przypadku niektórych aplikacji sensowne jest wylogowanie się lub ponowne uruchomienie klienta.
macOS: Certyfikat zaufania w pęku kluczy
W systemie macOS certyfikat jest importowany za pośrednictwem dostępu do pęku kluczy.
Procedura:
- Skopiuj
SecurityAppliance_SSL_CA.pemna komputer Mac. - Otwórz certyfikat, klikając dwukrotnie.
- Wdróż w pęku kluczy System lub zarządzanym profilu MDM.
- Otwórz certyfikat i ustaw wpis Zawsze ufaj w obszarze Zaufaj.
- Potwierdź zmianę za pomocą konta administratora.
- Uruchom ponownie przeglądarkę i dotknięte aplikacje.

W większych środowiskach macOS dystrybucja powinna odbywać się za pośrednictwem MDM. Instalacja ręczna jest bardziej odpowiednia do testowania lub pojedynczych urządzeń.
Sprawdź certyfikat na zarządzanych urządzeniach
Po dystrybucji należy sprawdzić na co najmniej jednym urządzeniu testowym na platformę, czy urząd certyfikacji rzeczywiście trafił do właściwego magazynu zaufanych certyfikatów.
- Sklep komputerowy Windows: Otwórz
certlm.msci wyszukaj Trusted Root Certification Authorities > Certificates. - Magazyn bieżącego użytkownika systemu Windows: Otwórz
certmgr.msci sprawdź magazyn zaufania użytkownika. - macOS: Otwórz dostęp do pęku kluczy i sprawdź status zaufania w pęku kluczy System.
- Firefox: Otwórz Settings > Privacy & Security > Certificates > View Certificates.
Jeśli certyfikat znajduje się tylko w magazynie użytkownika, ale aplikacja oczekuje magazynu komputera, przeglądarka może działać, a inna aplikacja może nadal wyświetlać błędy certyfikatu. I odwrotnie, przeglądarki posiadające własny magazyn zaufanych certyfikatów mogą zignorować dystrybucję systemu Windows lub macOS, jeśli nie są odpowiednio skonfigurowane.
Firefox w systemie Windows
Firefox może używać własnych baz certyfikatów, w zależności od konfiguracji. W środowiskach Windows istnieją dwa typowe sposoby:
- Skonfiguruj przeglądarkę Firefox do korzystania z głównych urzędów certyfikacji systemu Windows.
- Dystrybuuj certyfikaty za pośrednictwem zasad Mozilla Enterprise.
Drugi wariant ma sens w środowiskach, w których Firefox jest kontrolowany centralnie poprzez GPO.
Pobierz szablony GPO przeglądarki Firefox
Mozilla udostępnia szablony zasad w serwisie GitHub. Co jest potrzebne m.in.:
firefox.admxmozilla.admxfirefox.admlmozilla.adml
Pliki można pobrać z Repozytorium szablonów zasad Mozilli lub jako policy_templates.zip.

Importuj szablony
Pliki ADMX i ADML są kopiowane do centralnej ścieżki PolicyDefinitions.
Typowa ścieżka lokalna:
C:\Windows\PolicyDefinitions
Jeśli w domenie znajduje się magazyn centralny, zamiast niego używany jest folder PolicyDefinitions pod adresem SYSVOL.

Skonfiguruj zasady przeglądarki Firefox
Certyfikat jest następnie wprowadzany do zasad grupy w ramach zasad przeglądarki Firefox:
Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates
Procedura:
- Włącz zasadę Zainstaluj certyfikaty.
- Wprowadź nazwę pliku certyfikatu, na przykład
SecurityAppliance_SSL_CA.pem. - Skopiuj plik certyfikatu do oczekiwanego katalogu profilu użytkownika za pośrednictwem obiektu GPO lub dystrybucji oprogramowania.

W zależności od wersji przeglądarki Firefox i konfiguracji zasad, certyfikaty są odczytywane z następujących katalogów:
%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
Po następnej sesji przeglądarki Firefox certyfikat powinien być widoczny w Menedżerze certyfikatów przeglądarki Firefox.

Mozilla dokumentuje dodatkowe ścieżki i warianty na wiki: Add Certyfikat główny do Firefoksa.
Sprawdź działanie
Po dystrybucji powinieneś nie tylko sprawdzić, czy certyfikat istnieje. Liczy się to, czy TLS Inspection działa poprawnie.
Przydatne testy:
- Uruchom ponownie klienta testowego lub ponownie zaloguj użytkownika.
- Otwórz przeglądarkę i wyświetl stronę HTTPS odszyfrowaną przez Sophos Firewall.
- Pokaż certyfikat witryny w przeglądarce.
- Sprawdź, czy łańcuch certyfikatów przebiega przez
SecurityAppliance_SSL_CA, czy dokładnie przez wybrany urząd certyfikacji Sophos. - Sprawdź na zaporze sieciowej w Log Viewer > SSL/TLS inspection, czy ruch jest wyświetlany jako odszyfrowany i jaka reguła lub akcja została podjęta.
- Testuj kluczowe aplikacje biznesowe, usługi aktualizacji, narzędzia do współpracy i dostawców tożsamości.
Jeśli przeglądarka w dalszym ciągu wyświetla certyfikat oryginalnej publicznej witryny internetowej, oznacza to, że połączenie nie zostało odszyfrowane. Wtedy albo nie ma zastosowania żadna odpowiednia reguła SSL/TLS Inspection, wygrywa wyjątek, ruch przebiega inną ścieżką lub QUIC/HTTP/3 omija oczekiwaną ścieżkę TCP.
Jeśli ostrzeżenie przeglądarki zniknie, ale aplikacje nadal będą wyświetlać błędy, problem często nie dotyczy samego certyfikatu. Często przyczyną jest przypinanie certyfikatu, brak wyjątków TLS, nieprawidłowy profil deszyfrowania lub niewłaściwa reguła SSL/TLS Inspection.
W przypadku ruchu sieciowego należy dodatkowo sprawdzić, czy QUIC lub HTTP/3 omija oczekiwaną inspekcję. Artykuł Sophos Firewall QUIC i HTTP/3 prawidłowo blokują wyjaśnia, dlaczego Blokuj protokół QUIC pozostaje istotny w filtrowaniu sieci, skanowaniu złośliwego oprogramowania i TLS Inspection.
Typowe błędy
- Przeglądarka w dalszym ciągu wyświetla ostrzeżenie o certyfikacie: Urząd certyfikacji prawdopodobnie nie znajduje się we właściwym magazynie zaufanych certyfikatów. Sprawdź bazę certyfikatów systemu Windows, macOS lub Firefox.
- Chrome działa, Firefox nie: Firefox może korzystać z własnego magazynu certyfikatów. Sprawdź zasady Firefoksa lub zarządzanie certyfikatami Firefoksa.
- Poszczególne aplikacje zostały przerwane: Prawdopodobne jest przypinanie certyfikatu lub oddzielne sprawdzanie certyfikatu. TLS Inspection Log Viewer i sprawdź wyjątki.
- Działają tylko niektórzy klienci: Obiekt GPO nie działa lub jest powiązany z niewłaściwą jednostką organizacyjną.
gpresulti sprawdź łącze GPO. - CA jest zainstalowany, ale ostrzeżenie pozostaje: Rozproszony urząd certyfikacji może nie odpowiadać urzędowi certyfikacji w profilu deszyfrowania, ustawieniach inspekcji SSL/TLS lub ustawieniach ogólnych sieci.
- DPI działa, Web Proxy nie i odwrotnie: Obie ścieżki można skonfigurować inaczej. Sprawdź wybrany CA, ścieżkę sterowania i Log Viewer dla każdego trybu pracy.
- Po regeneracji urzędu certyfikacji pojawiają się ostrzeżenia: Stary urząd certyfikacji nadal znajduje się na klientach lub brakuje nowego urzędu certyfikacji. Usuń stary urząd certyfikacji i rozpowszechnij nowy urząd certyfikacji.
- Kanały URL lub filtry sieciowe nie działają zgodnie z oczekiwaniami: Ścieżka HTTPS nie jest odszyfrowana. TLS Inspection i sprawdź politykę internetową.
- Certyfikat jest obecny, ale ruch nie jest odszyfrowany: Brakuje odpowiedniej reguły SSL/TLS Inspection lub ruch odbywa się przez złą ścieżkę DPI/web proxy. Sprawdź wdrożenie TLS, regułę zapory sieciowej i Log Viewer.
- Nie działają tylko aplikacje mobilne lub klienci indywidualni: Prawdopodobne jest posiadanie własnego magazynu zaufanych certyfikatów, przypinanie certyfikatów lub sprawdzanie specyficzne dla aplikacji. Należy szczegółowo przetestować i w razie potrzeby wykluczyć ruch w aplikacjach mobilnych i na urządzeniach z Androidem, zamiast szeroko i na ślepo rozpowszechniać uprawnienia urzędu certyfikacji.
Rotacja urzędu certyfikacji i sytuacja awaryjna
Urząd certyfikacji nie powinien działać niezauważony przez lata bez znajomości daty ważności, pochodzenia i dystrybucji. W środowiskach produkcyjnych powinien istnieć proces o krótkim cyklu życia.
Planowana zmiana:
- Przygotuj nowy urząd certyfikacji lub nowy urząd certyfikacji zapory ogniowej.
- Rozesłaj nowy urząd certyfikacji do grupy testowej.
- TLS Inspection sprawdź w grupie testowej.
- Rozesłaj nowy urząd certyfikacji do wszystkich zarządzanych urządzeń, których dotyczy problem.
- Kontroluj reguły zapory sieciowej i profile deszyfrowania.
- Usuń stary urząd certyfikacji dopiero wtedy, gdy wszystkie produktywne urządzenia otrzymają nowy urząd certyfikacji.
Awaryjny kompromis:
- TLS Inspection ogranicza lub tymczasowo dezaktywuje w kontrolowany sposób, jeśli to konieczne.
- Zamień urząd certyfikacji, którego dotyczy problem, w zaporze ogniowej.
- Wdróż nowy urząd certyfikacji za pośrednictwem zdefiniowanej trasy dystrybucji.
- Usuń stary urząd certyfikacji ze wszystkich magazynów zaufanych certyfikatów.
- Sprawdź wyjątki, Log Viewer i aplikacje, których to dotyczy.
- Dokumentuj zmianę w incydencie lub zmianę System.
Ważne: zaatakowany urząd certyfikacji nie jest normalnym problemem z certyfikatem. Jeśli osoba atakująca kontroluje klucz prywatny, klienci mogą ufać fałszywym certyfikatom. Następnie należy konsekwentnie usuwać stary urząd certyfikacji.
Obsługa i konserwacja
Certyfikat urzędu certyfikacji powinien być częścią procesu operacyjnego:
- Data ważności dokumentu i osoba odpowiedzialna.
- Wykonuj regenerację urzędu certyfikacji tylko zgodnie z harmonogramem.
- Po migracji usuń stary urząd certyfikacji z klientów.
- Regularnie sprawdzaj dystrybucję za pośrednictwem GPO lub MDM.
- Dokumentuj i okresowo przeglądaj wyjątki TLS.
- Zregeneruj urząd certyfikacji w przypadku utraty urządzenia lub naruszenia bezpieczeństwa urzędu certyfikacji.
Jeśli dokonasz zmiany w TLS Inspection, powinieneś także sprawdzić reguły zapory sieciowej, których to dotyczy, profile deszyfrowania i listy wykluczeń. W przeciwnym razie klient zaufa urzędowi certyfikacji, ale zapora nadal nie będzie odszyfrowywać żądanego ruchu.