Generieren, anwenden und installieren Sie die Signaturzertifizierungsstelle.

Sie können eine signierende Zertifizierungsstelle (CA) generieren oder importieren und diese für die SSL/TLS-Inspektion und HTTPS-Entschlüsselung im Deep Packet Inspection (DPI)- und Web-Proxy-Modus verwenden.

Nach der Entschlüsselung sicherer Webinhalte verschlüsselt die Sophos Firewall diese Inhalte erneut mit Zertifikaten, die von dieser Zertifizierungsstelle signiert wurden. Um Fehler aufgrund nicht vertrauenswürdiger Zertifikate zu vermeiden, müssen Sie die signierende Zertifizierungsstelle auf den Endgeräten der Benutzer installieren.

Signing CA to use

Sie können eine der folgenden Optionen nutzen:

• Importieren einer externen Zertifizierungsstelle: Siehe Fügen Sie eine CA hinzu.
• Erstellen Sie eine CSR und eine Signatur-CA mithilfe einer Drittanbieter-CA: Siehe Fügen Sie untergeordnete und Stammzertifizierungsstellen für den TLS-Verkehr hinzu..

• Untergeordnete Zertifizierungsstellen als signierende Zertifizierungsstellen generieren: Siehe Active Directory-Zertifizierungsdienste.

  Notiz

  Wenn Sie eine externe Signaturzertifizierungsstelle verwenden, stellen Sie sicher, dass Sie die untergeordnete Signaturzertifizierungsstelle und deren Stammzertifizierungsstelle importieren.

• Verwenden Sie die auf der Sophos Firewall generierte Signatur-CA: Siehe Fügen Sie Endpunkten manuell eine Zertifizierungsstelle hinzu.

Weitere Einzelheiten finden Sie unter FAQs zum Entschlüsseln und Scannen von HTTPS-Verschlüsselungen.

Beantragen und laden Sie die CA herunter

1. Legen Sie die Entschlüsselungseinstellungen für die SSL/TLS-Inspektion (DPI-Modus) fest: Siehe Fügen Sie ein Entschlüsselungsprofil hinzu..
2. CA für DPI- und Web-Proxy-Modi anwenden und herunterladen: Siehe HTTPS-Entschlüsselung anwenden.

Installieren Sie die Signatur-CA auf den Endgeräten der Benutzer.

Sie können die Zertifizierungsstelle auf den Betriebssystemen oder Browsern der Endgeräte der Benutzer installieren.

• Installation per Fernzugriff: Sie können eine der folgenden Optionen verwenden:

  • Installation auf Windows-Endpunkten über Active Directory-Gruppenrichtlinien: Siehe Bereitstellung von Zertifikaten mithilfe von Gruppenrichtlinien.
  • Installation auf Endgerätebetriebssystemen mithilfe von Mobile Device Management: Siehe Verwenden Sie Sophos Mobile, um die Root-CA auf Mobilgeräten zu installieren..

• Die Benutzer installieren die Zertifizierungsstelle manuell: Senden Sie die signierende Zertifizierungsstelle per E-Mail an die Benutzer oder stellen Sie sie in Ihrem Intranet zur Verfügung.

  Die Nutzer müssen Folgendes beachten:

  1. Laden Sie die Datei herunter und speichern Sie sie auf dem Zielsystem.
  2. Installieren Sie die gespeicherte Datei wie folgt: Siehe Fügen Sie Endpunkten manuell eine Zertifizierungsstelle hinzu.