Saltar para o conteudo
Avanet

Instalar certificado CA da Sophos Firewall para HTTPS Scanning (SFOS)

Sophos Firewall

Se quiser analisar tráfego HTTPS na Sophos Firewall, tem de importar nos clientes o certificado Sophos SSL Proxy para que não apareça nenhuma mensagem de erro no browser. Neste guia mostramos como configurar este certificado para Internet Explorer, Edge, Firefox e Google Chrome.

Descarregar Sophos SSL CA

Inicie sessão como administrador na sua Sophos Firewall (SFOS) e aceda, através do menu, à página Certificados > Autoridade de certificação (CA). Depois clique no ícone de download junto a SecurityAppliance_SSL_CA.

Descarregar certificado Sophos SSL CA

Em seguida, encontra o certificado no disco com o nome SecurityAppliance_SSL_CA.pem.

Distribuir certificado por GPO (IE, Edge, Chrome)

A forma mais simples de distribuir o certificado por todos os computadores da rede é através de uma Group Policy num domínio. Se não tiver domínio, mais abaixo encontra o guia para instalação local em Windows e macOS. Primeiro explicamos como funciona a distribuição do certificado para os browsers Internet Explorer, Edge e Google Chrome. Como o Firefox tem a sua própria gestão de certificados, o procedimento é um pouco diferente; descrevemo-lo mais abaixo neste artigo.

  1. Inicie primeiro sessão no seu servidor Active Directory.
  2. Abra a Gestão de Política de Grupo, selecione uma policy e mude para o diretório Autoridades de certificação raiz fidedignas > Certificados.
  3. Clique depois com o botão direito numa área vazia da coluna direita para abrir o menu de contexto. Selecione em seguida Todas as tarefas > Importar....
  4. Siga o breve assistente de importação e selecione o certificado SecurityAppliance_SSL_CA.pem.
Autoridades de certificação raiz fidedignas

Instalar certificado num computador Windows local

Se quiser importar o certificado num único computador Windows, o procedimento é praticamente igual ao da importação no servidor Active Directory.

  1. Inicie sessão no computador Windows local.
  2. Abra o programa certmgr.msc através do menu Iniciar e mude para o diretório Autoridades de certificação raiz fidedignas > Certificados.
  3. Clique depois com o botão direito numa área vazia da coluna direita para abrir o menu de contexto. Selecione em seguida Todas as tarefas > Importar....
  4. Siga o breve assistente de importação e selecione o certificado SecurityAppliance_SSL_CA.pem.
Autoridades de certificação raiz fidedignas

Instalar certificado num Mac local

Num Mac, a instalação também é muito simples. Como se sabe, os certificados são geridos no Keychain.

  1. Abra o certificado SecurityAppliance_SSL_CA.pem com um duplo clique. Depois, o Keychain é aberto automaticamente.
  2. Defina o estado deste certificado como Confiar sempre.
  3. Depois pode fechar a janela e introduzir a sua palavra-passe de administrador como confirmação.
macOS Keychain - confiar no certificado

Instalar certificado por GPO para Mozilla Firefox (Windows)

O browser Firefox da Mozilla tem uma gestão própria de certificados e, por isso, os métodos descritos acima infelizmente não funcionam. Quem navega na Internet com Firefox tem de aceitar uma instalação um pouco mais trabalhosa do certificado.

1. Descarregar template GPO para Firefox

A Mozilla disponibiliza no GitHub os templates GPO para Firefox. Precisa dos seguintes ficheiros:

  • firefox.admx
  • mozilla.admx
  • firefox.adml
  • mozilla.adml

Pode descarregar estes ficheiros individualmente a partir do repositório Mozilla no Github. Ou pode descarregar diretamente o policy_templates.zip completo, que inclui todos os ficheiros para Windows e macOS em vários idiomas.

Ficheiros Firefox GPO Template do GitHub

2. Importar templates no Windows

Em seguida, estes ficheiros .admx e .adml ainda têm de ser copiados no servidor Active Directory para a pasta correta, para que fiquem depois visíveis como template no Group Policy Management Editor. Certifique-se de que inicia sessão com um utilizador com permissões suficientes.

  1. Abra o Windows Explorer e vá para o caminho C:\Windows\PolicyDefinitions. Se a sua partição root não tiver a letra C:, também pode abrir o caminho com uma variável: %systemroot%\PolicyDefinitions.
  2. Copie os dois documentos firefox.adml e mozilla.adml para esta pasta.
  3. Os ficheiros firefox.admx e mozilla.admx existem em diferentes idiomas e pertencem à subpasta correspondente de-DE ou en-US.
Instalar certificados Firefox

3. Criar policy

  1. Abra agora no Group Policy Management Editor Modelos administrativos > Mozilla > Firefox > Certificados > Install Certificates.
  2. Ative a policy e introduza o nome do ficheiro de certificado que descarregou anteriormente da firewall. No momento deste guia, o nome é SecurityAppliance_SSL_CA.pem.
GPO para Firefox

4. Copiar certificado para computador Windows

Para que o certificado seja importado ao iniciar o browser, o ficheiro .pem tem de ser copiado para o perfil do utilizador. Também pode fazer isto através de GPO. O certificado SecurityAppliance_SSL_CA.pem tem de ser copiado para os dois diretórios seguintes:

  • %USERPROFILE%\AppData\Local\Mozilla\Certificates
  • %USERPROFILE%\AppData\Roaming\Mozilla\Certificates

5. Verificar gestão de certificados do Firefox

Para verificar se tudo funcionou, pode abrir a gestão de certificados nas definições do Firefox. No separador Autoridades de certificação, deverá encontrar agora o certificado Sophos.

Gestão de certificados do Firefox com certificado Sophos

Info: Se quiser importar o certificado num sistema macOS ou Linux, encontra os caminhos de sistema na página seguinte: Mozilla Wiki - Add Root Certificate to Firefox