Sophos Firewall Distribuera CA certifikat för TLS Inspection
När en Sophos Firewall dekrypterar HTTPS-anslutningar via TLS Inspection eller HTTPS-skanning, skapar brandväggen ett nytt certifikat för anslutningen som kontrolleras och signerar det med en lokal CA. Klienter måste lita på denna CA, annars visas webbläsarvarningar eller program avbryter anslutningen.
Den inbyggda CA SecurityAppliance_SSL_CA är tillgänglig som standard i Sophos Firewall. Denna CA kan laddas ner på Certificates > Certificate authorities och distribueras till hanterade klienter. Men det är inte bara viktigt att några Sophos CA finns på klienterna. Den distribuerade CA måste matcha CA som faktiskt används för omsignering i TLS inspektionskonfigurationen.
Beroende på driftläge kontrolleras detta val på olika ställen: För DPI-baserade SSL/TLS Inspection-regler är CA under Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings relevant. Beim Web Proxy ligger HTTPS-Scanning-CA under Web > General settings > HTTPS decryption and scanning. Om en annan CA väljs än den som är betrodd av klienterna, uppstår certifikatfel, även om en Sophos CA allmänt distribuerades.
Artikeln Sophos Firewall introducera TLS Inspection korrekt beskriver hela lanseringen. Den här guiden fokuserar på att distribuera CA-certifikatet till Windows, macOS och Firefox.
Vad detta certifikat gör
Certifikatet Sophos Firewall CA är inte ett servercertifikat för portalen WebAdmin, WAF eller VPN. Det är grunden för förtroende med vilken klienter accepterar HTTPS-anslutningarna som omsigneras av brandväggen.
Separationen är viktig:
- Firewall CA: signs newly generated certificates during TLS Inspection.
- Omsignering av CA eller HTTPS-skanning CA: den specifikt valda CA som brandväggen använder i DPI-läge eller webbproxyläge.
- Client Trust Store: avgör om webbläsare och applikationer litar på denna CA.
- SSL/TLS Inspection Regel: bestämmer vilken trafik som dekrypteras.
- Dekrypteringsprofil: bestämmer hur strikt certifikat, TLS-versioner och fel hanteras.
- Uteslutningslista: förhindrar dekryptering av problematiska eller avsiktligt uteslutna mål.
Så CA-distributionen ensam aktiverar inte TLS Inspection. Distributions hindrar bara hanterade klienter från att visa certifikatvarningar för dekrypterad HTTPS-trafik. Huruvida trafik factiskt decrypteras beror på brandväggsregulator, webbpolicy, SSL/TLS Inspection regulator, decrypting profiler och undantag.
Dessutom ersätter inte distributionen CA ren protokollkontroll. SSL/TLS Inspection-regler får åtkomst till TCP-trafik. Om webbtrafiken går över QUIC eller HTTP/3 på UDP 443 ser kontrollen annorlunda ut och måste behandlas separat.
Innan utrullningen
Före distribution bör det vara klart vilka klienter som ska använda TLS Inspection. A CA certificate does not belong uncontrolled on every device, but rather specifically on managed company clients.
Förberedelser:
- Definiera testgrupp eller test-OU.
- Förtydliga driftläge: DPI-läge, Web Proxy eller båda varianterna.
- Dokument valt CA i Dekrypteringsprofil, SSL/TLS inspektionsinställningar och Web Allmänna inställningar.
- Dokumentåterställning och undantagsprocess.
- Ladda bara ned certifikatet CA från din egen brandvägg.
- Testa distributionen på några enheter först.
- Kontrollera webbläsare, affärsapplikationer och uppdateringar efter distribution.
- Utvärdera mobila enheter och appar separat med sin egen förtroendebutik eller certifikatfästning.
- Ta bort gamla eller inte längre använda CA-certifikat från Client Trust Store.
⚠️ Obs: Om CA eller den privata nyckeln har äventyrats räcker det inte med omfördelning. Sedan måste CA återskapas på brandväggen, omdistribueras och den gamla CA tas bort från klienterna.
Välj distributionsväg
Den korrekta distributionsvägen beror på hur enheterna hanteras.
- Windows domänklienter: Använd GPO i
Trusted Root Certification Authorities. Detta är det renaste sättet för klassiska Active Directory-miljöer. - Windows utan domän: Använd MDM, Intune eller lokal import. Lokal import är mer lämplig för tester eller enskilda enheter.
- macOS: Använd MDM-profil eller nyckelring
System. Manuell installation är mer lämplig för testning eller små miljöer. - Firefox: Använd Windows Trust Store eller lansera Mozilla Enterprise Policies. Firefox-beteende måste kontrolleras separat.
- BYOD eller personliga enheter: distribueras normalt inte. TLS Inspection tillhör hanterade företagsenheter.
- Server: distribuerar endast till avsiktligt testade serverarbetsbelastningar. Utgående servertrafik kan ha andra risker och undantag.
För produktiv verksamhet är det avgörande att samma utbyggnad kan vändas senare. Den som distribuerar CA via GPO, MDM eller policy bör därför också testa tillbakadragandet av den gamla CA.
Sophos Firewall CA ladda ner
På Sophos Firewall laddas certifikatet ner i webbgränssnittet:
- Logga in på Sophos Firewall som administratör.
- Öppna Certificates > Certificate authorities.
- Hitta CA
SecurityAppliance_SSL_CAeller din egen CA som du medvetet använder. - Ladda ner certifikatet med hjälp av nedladdningssymbolen.
- Kontrollera sedan om samma CA är vald i den aktiva TLS inspektionskonfigurationen.

Certifikatet är då vanligtvis tillgängligt som SecurityAppliance_SSL_CA.pem. Den här filen innehåller den offentliga delen av CA och kan distribueras till klienter. Den privata nyckeln får inte distribueras mellan klienter.
Filen ska behandlas som ett säkerhetsrelaterat konfigurationsobjekt. Den offentliga delen är inte ett lösenord, men den definierar vilka CA-klienter som kommer att lita på i framtiden. Filen bör därför komma från din egen produktiva brandvägg, vara versionerad eller åtminstone lagrad på ett spårbart sätt och inte återanvändas från gamla projekt.
Det finns ytterligare två vägar för att styra den aktiva CA:
- DPI-läge: Öppna Rules and policies > SSL/TLS inspection rules > SSL/TLS inspection settings och jämför CA som valts där med den nedladdade filen.
- Web Proxy: Öppna Web > General settings > HTTPS decryption and scanning och kontrollera HTTPS-skanningen CA.
Denna kontroll förhindrar ett vanligt utrullningsfel: Standarden CA distribueras till klienterna, medan brandväggen redan använder en annan CA i en dekrypteringspolicy eller i Web Proxy.
Windows: Distribuera certifikat via GPO
I Active Directory-miljöer är en grupppolicy det renaste sättet. Edge, Chrome och många Windows-applikationer litar på Windows-certifikatarkivet.
Rekommenderad sökväg i Group Policy Management:
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Trusted Root Certification Authorities > Certificates
Procedur:
- Öppna grupprinciphantering på en domänkontrollant eller administratörsklient.
- Använd befintlig GPO för klientbaslinje eller skapa en ny GPO för TLS inspektionstestgrupp.
- Gå till sökväg Trusted Root Certification Authorities > Certificates.
- Högerklicka i certifikatlistan.
- Välj All Tasks > Import.
- Importera
SecurityAppliance_SSL_CA.pem. - Koppla endast GPO till önskad organisationsenhet eller säkerhetsgrupp.
- Kör
gpupdate /forcepå en testklient eller vänta på den vanliga uppdateringen.

För produktiva miljöer bör GPO inte tillämpas direkt på alla datorer. En test-OU minskar risken om ett certifikat importeras felaktigt eller en applikation reagerar oväntat.
Windows: Installera certifikat lokalt
Certifikatet kan importeras lokalt för individuella testenheter. Det finns två vettiga varianter:
- Lokal datorbutik: gäller för alla användare på enheten och är oftast korrekt för hanterade klienter.
- Current User Store: gäller endast den inloggade användaren och räcker ibland för att testa.
För den lokala datorn:
- Logga in som lokal administratör.
- Starta
certlm.msc. - Öppna Trusted Root Certification Authorities > Certificates.
- Högerklicka i certifikatlistan.
- Välj All Tasks > Import.
- Importera
SecurityAppliance_SSL_CA.pem.
Alternativt kan certmgr.msc användas för den aktuella användaren.

Efter import bör webbläsare och applikationer startas om. För vissa applikationer är det vettigt att logga ut eller starta om klienten.
macOS: Trustcertifikat i nyckelring
På macOS importeras certifikatet via Keychain Access.
Procedur:
- Kopiera
SecurityAppliance_SSL_CA.pemtill Mac. - Öppna certifikatet genom att dubbelklicka.
- Distribuera till nyckelring System eller en hanterad MDM-profil.
- Öppna certifikatet och ställ in posten Always Trust under Trust.
- Bekräfta ändringen med ett administratörskonto.
- Starta om webbläsaren och berörda appar.

I större macOS-miljöer bör distribution ske via MDM. Manuell installation är mer lämplig för testning eller enskilda enheter.
Kontrollera certifikatet på hanterade enheter
Efter distribution bör du kontrollera minst en testenhet per plattform för att se om CA faktiskt hamnade i rätt förtroendebutik.
- Windows Computer Store: Öppna
certlm.mscoch sök under Trusted Root Certification Authorities > Certificates. - Windows Current User Store: Öppna
certmgr.mscoch kontrollera användarens förtroendearkiv. - macOS: Öppna Keychain Access och kontrollera förtroendestatusen i System-nyckelringen.
- Firefox: Öppna Settings > Privacy & Security > Certificates > View Certificates.
Om ett certifikat bara finns i användararkivet men ett program förväntar sig datorarkivet, kan webbläsaren fungera och en annan applikation kan fortfarande visa certifikatfel. Omvänt kan webbläsare med sin egen förtroendebutik ignorera Windows- eller macOS-distribution om de inte är konfigurerade därefter.
Firefox på Windows
Firefox kan använda sina egna certifikatlager beroende på konfigurationen. I Windows-miljöer finns det två vanliga sätt:
- Konfigurera Firefox för att använda Windows Root CAs.
- Distribuera certifikat via Mozilla Enterprise Policies.
Den andra varianten är vettig i miljöer där Firefox styrs centralt via GPO.
Ladda ner Firefox GPO mallar
Mozilla gör policymallarna tillgängliga på GitHub. Det som behövs bland annat:
firefox.admxmozilla.admxfirefox.admlmozilla.adml
Filerna kan laddas ner från Mozilla Policy Templates Repository eller som policy_templates.zip.

Importera mallar
Filerna ADMX och ADML kopieras till den centrala PolicyDefinitions-sökvägen.
Typisk lokal sökväg:
C:\Windows\PolicyDefinitions
Om det finns en Central Store i domänen används istället mappen PolicyDefinitions under SYSVOL.

Konfigurera Firefox-policy
Certifikatet läggs sedan in i grupppolicyn under Firefox-policyerna:
Administrative Templates > Mozilla > Firefox > Certificates > Install Certificates
Procedur:
- Aktivera policyn Installera certifikat.
- Ange filnamnet på certifikatet, till exempel
SecurityAppliance_SSL_CA.pem. - Kopiera certifikatfilen via GPO eller programvarudistribution till den förväntade användarprofilkatalogen.

Beroende på Firefox-version och policykonfiguration läses certifikat från dessa kataloger:
%USERPROFILE%\AppData\Local\Mozilla\Certificates
%USERPROFILE%\AppData\Roaming\Mozilla\Certificates
Efter nästa Firefox-session bör certifikatet vara synligt i Firefox Certificate Manager.

Mozilla dokumenterar ytterligare sökvägar och varianter i wikin: Lägg till rotcertifikat till Firefox.
Kontrollera funktionen
Efter distribution ska du inte bara kontrollera om certifikatet finns. Det som spelar roll är om TLS Inspection fungerar korrekt.
Användbara tester:
- Starta om testklienten eller logga in på nytt.
- Öppna webbläsaren och gå till en HTTPS-sida, som dekrypteras av Sophos Firewall.
- Se webbplatsens certifikat i webbläsaren.
- Kontrollera om certifikatkedjan körs via
SecurityAppliance_SSL_CAeller exakt den valda Sophos CA. - Kontrollera på brandväggen i Log Viewer > SSL/TLS inspection om trafiken visas som dekrypterad och vilken regel eller åtgärd som vidtogs.
- Testa viktiga affärsapplikationer, uppdateringstjänster, samarbetsverktyg och identitetsleverantörer.
Om webbläsaren fortsätter att visa det ursprungliga offentliga webbplatscertifikatet har denna anslutning inte dekrypterats. Då gäller antingen ingen lämplig SSL/TLS Inspection-regel, ett undantag vinner, trafiken körs över en annan väg eller QUIC/HTTP/3 kringgår den förväntade TCP-vägen.
Om webbläsarvarningen försvinner men applikationer fortsätter att visa fel ligger problemet ofta inte i själva certifikatet. Certifikatpinning, saknade TLS-undantag, en felaktig dekrypteringsprofil eller en olämplig SSL/TLS Inspection-regel är ofta orsaken.
För webbtrafik bör det också kontrolleras om QUIC eller HTTP/3 går förbi den förväntade inspektionen. Artikeln Sophos Firewall Blockera QUIC och HTTP/3 korrekt förklarar varför Block QUIC-protokollet fortfarande är relevant för webbfiltrering, skanning av skadlig programvara och TLS Inspection.
Typiska misstag
- Webbläsaren visar fortfarande certifikatvarning: CA är förmodligen inte i rätt förtroendelager. Kontrollera Windows, macOS eller Firefox certifikatbutik.
- Chrome fungerar, Firefox gör det inte: Firefox kan använda sin egen certifikatbutik. Kontrollera Firefox-policyer eller Firefox-certifikathantering.
- Enskilda ansökningar går sönder: Certifikatfästning eller din egen certifikatkontroll är troligt. TLS Inspection Log Viewer och kontrollera undantag.
- Endast vissa klienter fungerar: GPO fungerar inte eller är länkad till fel organisationsenhet. Kontrollera länkarna
gpresultoch GPO. - CA är installerad, men varningen kvarstår: Den distribuerade CA kanske inte matchar CA i dekrypteringsprofilen, i SSL/TLS inspektionsinställningarna eller under allmänna webbinställningar.
- DPI fungerar, Web Proxy gör det inte eller vice versa: Båda sökvägarna kan konfigureras på olika sätt. Kontrollera valda CA, styrväg och Log Viewer per driftläge.
- Efter CA-regenerering finns det varningar: Den gamla CA finns fortfarande kvar på klienter eller så saknas den nya CA. Ta bort gamla CA och distribuera nya CA.
- URL-flöden eller webbfilter fungerar inte som förväntat: HTTPS-sökvägen är inte dekrypterad. TLS Inspection och kontrollera webbpolicyn.
- Certifikatet finns, men trafiken är inte dekrypterad: En lämplig SSL/TLS Inspection-regel saknas eller så använder trafiken fel DPI/webproxysökväg. Kontrollera TLS utrullning, brandväggsregel och Log Viewer.
- Endast mobilappar eller enskilda klienter misslyckas: Egen trust store, certificate pinning eller appspecifik kontroll är sannolikt. Särskilt Android- och mobilappstrafik bör testas riktat och vid behov undantas, istället för att distribuera CA brett och blint.
CA rotation och nödsituation
En CA bör inte användas obemärkt i flera år utan att utgångsdatum, ursprung och distribution är känt. För produktiva miljöer bör det finnas en liten livscykelprocess.
Planerad förändring:
- Förbered ny CA eller ny brandvägg CA.
- Distribuera nya CA till en testgrupp.
- Kontrollera TLS Inspection med testgrupp.
- Distribuera nya CA till alla berörda hanterade enheter.
- Kontrollera brandväggsregler och dekrypteringsprofiler.
- Ta bara bort den gamla CA när alla produktiva enheter har fått den nya CA.
Nödsituation vid kompromiss:
- Om det behövs, begränsa eller tillfälligt avaktivera TLS Inspection på ett kontrollerat sätt.
- Ersätt berörda CA på brandväggen.
- Rulla ut nya CA via den definierade distributionsvägen.
- Ta bort gamla CA från alla förtroendebutiker.
- Kontrollera undantag, Log Viewer och berörda applikationer.
- Dokumentera förändringar i incidenten eller byt system.
Viktigt: En komprometterad CA är inte ett normalt certifikatproblem. Om en angripare kontrollerar den privata nyckeln kan klienter lita på falska certifikat. Sedan måste den gamla CA konsekvent tas bort.
Drift och underhåll
CA-certifikatet bör vara en del av den operativa processen:
- Dokumentets utgångsdatum och ansvarig person.
- Utför endast CA regenerering som planerat.
- Ta bort gamla CA från klienter efter migreringen.
- Kontrollera distributionen via GPO eller MDM regelbundet.
- Dokumentera TLS undantag och granska dem med jämna mellanrum.
- Om enheten försvinner eller CA äventyras, återskapa CA.
Om du gör en ändring i TLS Inspection bör du också kontrollera de berörda brandväggsreglerna, dekrypteringsprofilerna och undantagslistorna. Annars litar klienten på CA, men brandväggen dekrypterar fortfarande inte den önskade trafiken.