Distribuir o certificado CA do Sophos Firewall para Inspeção TLS
Quando um Sophos Firewall descriptografa conexões HTTPS através de Inspeção TLS ou Escaneamento HTTPS, o firewall cria um novo certificado para a conexão inspecionada e o assina com uma CA local. Os clientes devem confiar nesta CA, caso contrário, aparecerão avisos no navegador ou os aplicativos interromperão a conexão.
No Sophos Firewall, a CA embutida SecurityAppliance_SSL_CA está disponível por padrão. Esta CA pode ser baixada em Certificates > Certificate authorities e distribuída para clientes gerenciados.
O artigo Implementar corretamente a Inspeção TLS do Sophos Firewall descreve toda a implementação. Este guia concentra-se na distribuição do certificado CA para Windows, macOS e Firefox.
O que este certificado faz
O certificado CA do Sophos Firewall não é um certificado de servidor para WebAdmin, WAF ou Portal VPN. É a base de confiança com a qual os clientes aceitam as conexões HTTPS recém-assinadas pelo firewall.
É importante a separação:
- CA do Firewall: assina certificados recém-criados durante a Inspeção TLS.
- Armazenamento de Confiança do Cliente: decide se navegadores e aplicativos confiam nesta CA.
- Regra de Inspeção SSL/TLS: decide qual tráfego será descriptografado.
- Perfil de Descriptografia: define quão rigorosamente os certificados, versões TLS e erros são tratados.
- Lista de Exclusão: impede a descriptografia para destinos problemáticos ou intencionalmente excluídos.
A distribuição da CA por si só não ativa a Inspeção TLS. A distribuição apenas impede que clientes gerenciados exibam avisos de certificado quando o tráfego HTTPS é descriptografado. Se o tráfego será realmente descriptografado depende das regras do firewall, política da web, regras de inspeção SSL/TLS, perfis de descriptografia e exceções.
Antes da implementação
Antes da distribuição, deve estar claro quais clientes devem usar a Inspeção TLS. Um certificado CA não deve ser colocado indiscriminadamente em todos os dispositivos, mas direcionado para clientes corporativos gerenciados.
Preparação:
- Definir um grupo de teste ou OU de teste.
- Documentar o processo de rollback e exceção.
- Baixar o certificado CA apenas do próprio firewall.
- Testar a distribuição em poucos dispositivos primeiro.
- Verificar navegadores, aplicativos empresariais e atualizações após a distribuição.
- Remover certificados CA antigos ou não utilizados do Armazenamento de Confiança do Cliente.
⚠️ Atenção: Se a CA ou a chave privada foi comprometida, uma nova distribuição não é suficiente. A CA deve ser regenerada no firewall, redistribuída e a antiga CA removida dos clientes.
Escolher o método de distribuição
O método de distribuição correto depende de como os dispositivos são gerenciados.
- Clientes de Domínio Windows: GPO em
Trusted Root Certification Authorities. adequado para ambientes clássicos de Active Directory. - Windows sem Domínio: MDM, Intune ou importação local. importação local apenas para testes ou dispositivos individuais.
- macOS: Perfil MDM ou chaveiro
System. instalação manual apenas para testes ou pequenos ambientes. - Firefox: Usar Armazenamento de Confiança do Windows ou Políticas Empresariais da Mozilla. comportamento do Firefox deve ser verificado separadamente.
- BYOD ou dispositivos privados: normalmente não distribuir. Inspeção TLS deve estar em dispositivos corporativos gerenciados.
- Servidores: apenas para cargas de trabalho de servidor intencionalmente inspecionadas. tráfego de saída do servidor pode ter outros riscos e exceções.
Para operação produtiva, é crucial que a mesma implementação possa ser revertida posteriormente. Quem distribui a CA via GPO, MDM ou política deve, portanto, também testar a remoção da antiga CA.
Baixar o CA do Sophos Firewall
No Sophos Firewall, o certificado é baixado na interface web:
- Faça login como administrador no Sophos Firewall.
- Abra Certificates > Certificate authorities.
- Encontre a CA
SecurityAppliance_SSL_CA. - Baixe o certificado através do ícone de download.

O certificado geralmente é salvo como SecurityAppliance_SSL_CA.pem. Este arquivo contém a parte pública da CA e pode ser distribuído para os clientes. A chave privada não deve ser distribuída para os clientes.
O arquivo deve ser tratado como um elemento de configuração de segurança. A parte pública não é uma senha, mas define em qual CA os clientes confiarão no futuro. Portanto, o arquivo deve vir do próprio firewall produtivo, ser versionado ou pelo menos armazenado de forma rastreável e não reutilizado de projetos antigos.
Distribuir o certificado no Windows via GPO
Em ambientes de Active Directory, uma política de grupo é o método mais limpo. Edge, Chrome e muitos aplicativos do Windows confiam no armazenamento de certificados do Windows.
Caminho recomendado na administração de políticas de grupo:
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates
Procedimento:
- Abra a administração de políticas de grupo em um controlador de domínio ou cliente administrador.
- Use uma GPO existente para a linha de base do cliente ou crie uma nova GPO para o grupo de teste de Inspeção TLS.
- Navegue até Trusted Root Certification Authorities > Certificates.
- Clique com o botão direito na lista de certificados.
- Selecione All Tasks > Import.
- Importe
SecurityAppliance_SSL_CA.pem. - Vincule a GPO apenas à OU ou grupo de segurança desejado.
- Execute
gpupdate /forceem um cliente de teste ou aguarde a atualização regular.

Para ambientes produtivos, a GPO não deve ser aplicada diretamente a todos os computadores. Uma OU de teste reduz o risco se um certificado for importado incorretamente ou um aplicativo reagir de forma inesperada.
Instalar o certificado localmente no Windows
Para dispositivos de teste individuais, o certificado pode ser importado localmente. Existem duas variantes adequadas:
- Armazenamento do Computador Local: aplica-se a todos os usuários no dispositivo e geralmente é correto para clientes gerenciados.
- Armazenamento do Usuário Atual: aplica-se apenas ao usuário logado e às vezes é suficiente para testes.
Para o computador local:
- Faça login como administrador local.
- Inicie
certlm.msc. - Abra Trusted Root Certification Authorities > Certificates.
- Clique com o botão direito na lista de certificados.
- Selecione All Tasks > Import.
- Importe
SecurityAppliance_SSL_CA.pem.
Para o usuário atual, certmgr.msc pode ser usado como alternativa.

Após a importação, os navegadores e aplicativos devem ser reiniciados. Em alguns aplicativos, pode ser necessário fazer logout ou reiniciar o cliente.
Confiar no certificado no chaveiro do macOS
No macOS, o certificado é importado através da administração do chaveiro.
Procedimento:
- Copie
SecurityAppliance_SSL_CA.pempara o Mac. - Abra o certificado com um duplo clique.
- Disponibilize no chaveiro System ou em um perfil MDM gerenciado.
- Abra o certificado e, em Trust, defina Always Trust.
- Confirme a alteração com uma conta de administrador.
- Reinicie navegadores e aplicativos afetados.

Em ambientes macOS maiores, a distribuição deve ser feita via MDM. A instalação manual é mais adequada para testes ou dispositivos individuais.
Verificar o certificado em dispositivos gerenciados
Após a distribuição, deve-se verificar em pelo menos um dispositivo de teste por plataforma se a CA realmente foi parar no Armazenamento de Confiança correto.
- Armazenamento do Computador Windows: Abra
certlm.msce procure em Trusted Root Certification Authorities > Certificates. - Armazenamento do Usuário Atual Windows: Abra
certmgr.msce verifique o armazenamento de confiança do usuário. - macOS: Abra a administração do chaveiro e verifique o status de confiança no chaveiro System.
- Firefox: Abra Settings > Privacy & Security > Certificates > View Certificates.
Se um certificado estiver apenas no armazenamento do usuário, mas um aplicativo esperar o armazenamento do computador, o navegador pode funcionar e outro aplicativo ainda mostrar erros de certificado. Por outro lado, navegadores com armazenamento de confiança próprio podem ignorar a distribuição do Windows ou macOS se não estiverem configurados adequadamente.
Firefox no Windows
O Firefox pode usar seus próprios armazenamentos de certificados dependendo da configuração. Em ambientes Windows, há dois métodos comuns:
- Configurar o Firefox para usar as CAs Raiz do Windows.
- Distribuir certificados através das Políticas Empresariais da Mozilla.
A segunda variante é adequada em ambientes onde o Firefox é controlado centralmente via GPO.
Baixar modelos de GPO do Firefox
A Mozilla disponibiliza os modelos de política no GitHub. São necessários, entre outros:
firefox.admxmozilla.admxfirefox.admlmozilla.adml
Os arquivos podem ser baixados do Repositório de Modelos de Política da Mozilla ou como policy_templates.zip.

Importar modelos
Os arquivos ADMX e ADML são copiados para o caminho central PolicyDefinitions.
Caminho local típico:
C:\Windows\PolicyDefinitions
Em um Central Store no domínio, a pasta PolicyDefinitions sob SYSVOL é usada.

Configurar política do Firefox
Na política de grupo, o certificado é então registrado nas políticas do Firefox:
Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates
Procedimento:
- Ative a política Install Certificates.
- Insira o nome do arquivo do certificado, por exemplo,
SecurityAppliance_SSL_CA.pem. - Copie o arquivo de certificado via GPO ou distribuição de software para o diretório de perfil de usuário esperado.

Dependendo da versão do Firefox e da configuração da política, os certificados são lidos destes diretórios:
%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
Após a próxima sessão do Firefox, o certificado deve ser visível na administração de certificados do Firefox.

A Mozilla documenta caminhos e variantes adicionais no Wiki: Adicionar Certificado Raiz ao Firefox.
Verificar funcionamento
Após a distribuição, deve-se verificar não apenas se o certificado está presente. O crucial é se a Inspeção TLS funciona corretamente.
Testes recomendados:
- Reinicie o cliente de teste ou faça login novamente no usuário.
- Abra o navegador e acesse uma página HTTPS que seja descriptografada pelo Sophos Firewall.
- No navegador, exiba o certificado do site.
- Verifique se a cadeia de certificados passa por
SecurityAppliance_SSL_CAou pela CA Sophos escolhida. - No firewall, verifique em Log Viewer > SSL/TLS inspection se o tráfego é exibido como descriptografado.
- Teste aplicativos empresariais importantes, serviços de atualização, ferramentas de colaboração e provedores de identidade.
Se o aviso do navegador desaparecer, mas os aplicativos ainda mostrarem erros, o problema geralmente não está no certificado em si. Frequentemente, são o Certificate Pinning, exceções TLS ausentes, um Perfil de Descriptografia incorreto ou uma Regra de Inspeção SSL/TLS inadequada que são a causa.
Para tráfego web, deve-se verificar adicionalmente se o QUIC ou HTTP/3 está contornando a inspeção esperada. O artigo Bloquear corretamente o protocolo QUIC e HTTP/3 no Sophos Firewall explica por que Block QUIC protocol continua relevante para filtragem web, escaneamento de malware e Inspeção TLS.
Erros comuns
- O navegador ainda mostra aviso de certificado: CA não está no Armazenamento de Confiança correto. Verificar armazenamento de certificados Windows/macOS/Firefox.
- Chrome funciona, Firefox não: Firefox usa armazenamento de certificados próprio. Verificar políticas do Firefox ou administração de certificados do Firefox.
- Aplicativos individuais falham: Certificate Pinning ou verificação de certificado própria. Verificar Log Viewer de Inspeção TLS e exceções.
- Apenas alguns clientes funcionam: GPO não está aplicando ou OU incorreta. Verificar
gpresulte vinculação de GPO. - Após regeneração da CA, há avisos: CA antiga ainda nos clientes ou nova CA ausente. Remover CA antiga, distribuir nova CA.
- Feeds de URL ou filtro web não funcionam como esperado: Caminho HTTPS não está sendo descriptografado. Verificar Inspeção TLS e política web.
- Certificado está presente, mas tráfego não é descriptografado: Nenhuma regra de Inspeção SSL/TLS adequada ou caminho DPI/Web-Proxy incorreto. Verificar implementação TLS, regra do firewall e Log Viewer.
- Apenas aplicativos móveis ou clientes individuais falham: Armazenamento de confiança próprio, Certificate Pinning ou verificação específica do aplicativo. Verificar exceção direcionada em vez de desativação global.
Rotação de CA e emergência
Uma CA não deve ser operada sem supervisão por anos, sem que a data de validade, origem e distribuição sejam conhecidas. Para ambientes produtivos, deve haver um pequeno processo de ciclo de vida.
Mudança planejada:
- Preparar nova CA ou nova CA do firewall.
- Distribuir nova CA para um grupo de teste.
- Verificar Inspeção TLS com grupo de teste.
- Distribuir nova CA para todos os dispositivos gerenciados afetados.
- Controlar regras do firewall e perfis de descriptografia.
- Remover CA antiga apenas quando todos os dispositivos produtivos tiverem recebido a nova CA.
Emergência em caso de comprometimento:
- Restringir ou desativar temporariamente a Inspeção TLS, se necessário.
- Substituir a CA afetada no firewall.
- Implementar nova CA através do método de distribuição definido.
- Remover CA antiga de todos os Armazenamentos de Confiança.
- Verificar exceções, Log Viewer e aplicativos afetados.
- Documentar a alteração no sistema de incidentes ou mudanças.
Importante: Uma CA comprometida não é um problema de certificado normal. Se um invasor controlar a chave privada, os clientes podem confiar em certificados falsificados. Nesse caso, a CA antiga deve ser removida de forma consistente.
Operação e manutenção
O certificado CA deve fazer parte do processo operacional:
- Documentar data de validade e responsáveis.
- Realizar regeneração da CA apenas de forma planejada.
- Remover CA antiga dos clientes após a migração.
- Verificar regularmente a distribuição via GPO ou MDM.
- Documentar exceções TLS e revisar periodicamente.
- Regenerar a CA em caso de perda de dispositivo ou comprometimento da CA.
Ao fazer uma alteração na Inspeção TLS, também deve-se verificar as regras do firewall afetadas, perfis de descriptografia e listas de exclusão. Caso contrário, o cliente pode confiar na CA, mas o firewall ainda não descriptografa o tráfego desejado.