Generieren, Anwenden und Installieren der signierenden Zertifizierungsstelle

Sie können eine signierende Zertifizierungsstelle (CA) generieren oder importieren und sie für die SSL/TLS-Prüfung und HTTPS-Entschlüsselung im Deep Packet Inspection (DPI)- und Webproxy-Modus verwenden.

Nach der Entschlüsselung sicherer Webinhalte verschlüsselt die Sophos Firewall diese erneut mit von dieser Zertifizierungsstelle signierten Zertifikaten. Um Fehler aufgrund nicht vertrauenswürdiger Zertifikate zu vermeiden, müssen Sie die signierende Zertifizierungsstelle auf den Endpoints der Benutzer installieren.

Zu verwendende Signatur-CA

Sie können eine der folgenden Optionen verwenden:

• Importieren einer externen Zertifizierungsstelle: Siehe Hinzufügen einer Zertifizierungsstelle.
• Erstellen Sie eine CSR und erstellen Sie eine signierende Zertifizierungsstelle mithilfe einer Drittanbieter-Zertifizierungsstelle: Siehe Fügen Sie untergeordnete und Stammzertifizierungsstellen für TLS-Verkehr hinzu.

• Untergeordnete CAs als signierende CAs generieren: Siehe Active Directory-Zertifizierungsdienste.

  Notiz

  Wenn Sie eine externe Signatur-CA verwenden, achten Sie darauf, dass Sie die untergeordnete Signatur-CA und deren Stamm-CA importieren.

• Verwenden Sie die signierende CA, die auf der Sophos Firewall generiert wurde: Siehe Manuelles Hinzufügen einer Zertifizierungsstelle zu Endpunkten.

Weitere Einzelheiten finden Sie unter FAQs zum Entschlüsseln und Scannen von HTTPS.

Beantragen und herunterladen der CA

1. Geben Sie die Entschlüsselungseinstellungen für die SSL/TLS-Prüfung (DPI-Modus) an: Siehe Hinzufügen eines Entschlüsselungsprofils.
2. Wenden Sie die CA für die DPI- und Webproxymodi an und laden Sie sie herunter: Siehe HTTPS-Entschlüsselung anwenden.

Installieren Sie die signierende Zertifizierungsstelle auf den Endpunkten der Benutzer

Sie können die CA auf den Betriebssystemen oder Browsern der Endpunkte der Benutzer installieren.

• Remote-Installation: Sie können eine der folgenden Optionen verwenden:

  • Installation auf Windows-Endpunkten über Active Directory-Gruppenrichtlinien: Siehe Bereitstellen von Zertifikaten mithilfe von Gruppenrichtlinien.
  • Installation auf Endpunkt-Betriebssystemen mithilfe der Mobile Device Management-Funktion: Siehe Verwenden Sie Sophos Mobile, um die Stammzertifizierungsstelle auf Mobilgeräten zu installieren.

• Benutzer installieren die Zertifizierungsstelle manuell: Senden Sie die signierende Zertifizierungsstelle per E-Mail an die Benutzer oder stellen Sie sie in Ihrem Intranet zur Verfügung

  Benutzer müssen wie folgt vorgehen:

  1. Laden Sie die Datei herunter und speichern Sie sie auf ihrem Endpunkt.
  2. Installieren Sie die gespeicherte Datei wie folgt: Siehe Fügen Sie Endpunkten manuell eine Zertifizierungsstelle hinzu.