KB 127885 – Sophos XG Firewall: Como instalar uma autoridade de certificação subordinada (CA) para inspeção HTTPS

Visão Geral

Este artigo descreve as etapas para gerar, assinar e instalar uma autoridade de certificação subordinada (CA) para inspeção HTTPS.

As seguintes seções são cobertas:

  • Gerar uma solicitação de assinatura de certificado (CSR)
  • Assine o CSR
  • Converta o CA assinado
  • Faça upload da CA assinada para o XG Firewall
  • Faça upload da CA raiz para o XG Firewall
  • Configurar a verificação de HTTPS CA
  • Resultados
  • Informação relacionada

Aplica-se aos seguintes produtos e versões
Sophos Firewall

Gerar uma solicitação de assinatura de certificado (CSR)

Vá para Certificates > Certificates e clique em Add.

tidy_fix_alt

Escolha Generate Certificate Signing Request (CSR) e preencha os campos obrigatórios de acordo.

tidy_fix_alt

Baixe o CSR recém-gerado

tidy_fix_alt

Seu pacote CSR baixado deve incluir:

  • CSR em formato .csr.
  • Chave privada no formato .key.
  • Senha no formato .txt.
tidy_fix_alt

Assine o CSR

Faça login no servidor de certificado da Microsoft em /certsrv”>https://<IP_address>/certsrv  e selecione Request a Certificate.

tidy_fix_alt

Selecione Advanced certificate request.

tidy_fix_alt

Abra o arquivo CSR e copie o conteúdo completo sem nenhuma linha extra. Escolha Subordinate Certificate Authority como modelo.

tidy_fix_alt

Baixe o certificado no formato codificado por DER.

tidy_fix_alt

O certificado baixado se parece com este: 

tidy_fix_alt

Converta o CA assinado

OpenSSL é uma ferramenta útil para converter certificados. Abra um shell de comando e digite o seguinte comando OpenSSL para converter o arquivo * .cer em um arquivo * .pem.

OpenSSL x509 -inform DER -in certnew.cer -out proxy.pem

tidy_fix_alt

Faça upload da CA assinada para o XG Firewall

Vá para Certificates > Certificates Authorities e selecione Add para carregar o arquivo * .pem recém-gerado. A chave privada e a frase secreta são os arquivos baixados anteriormente ao gerar o CSR.

tidy_fix_alt

Depois de carregado, a CA assinada deve aparecer na guia Certificates Authorities.

tidy_fix_alt

Faça upload da CA raiz para o XG Firewall

Para usar o CA assinado, carregado recentemente, você também deve adicionar seu CA raiz ao XG Firewall. Se você não tiver o arquivo CA raiz, é possível exportá-lo de todos os clientes associados ao domínio ou diretamente do servidor CA. No exemplo abaixo, a CA raiz é exportada do servidor CA.

tidy_fix_alt

Vá para Certificates > Certificates Authorities e selecione Add para carregar a CA raiz recém-exportada.

tidy_fix_alt

Depois de carregado, a CA raiz deve aparecer na guia Certificates Authorities.

tidy_fix_alt

Configurar a verificação de HTTPS CA

Vá para Web >General Settings e na  seção HTTPS Decryption and Scanning, defina a HTTPS Scanning Certificate Authority (CA) como a CA subordinada recentemente assinada.

tidy_fix_alt

Vá para Firewall para editar a regra que controla o tráfego e habilitar Decrypt & Scan HTTPS na seção Web Malware and Content Scanning.

tidy_fix_alt

Resultados

Navegue na Internet e agora você pode ver a cadeia de certificados completa (CA raiz e o certificado de proxy) no navegador da web.

tidy_fix_alt

Informação relacionada

do original em: https://support.sophos.com/support/s/article/KB-000037065?language=en_US

Newsletter

Insira seu endereço de e-mail abaixo para receber novidades

Deixar uma resposta