Настройка фильтрации HTTPS
Last updated
Last updated
Специфика расшифровки и фильтрации трафика с подменой сертификата требует не только создания профилей TLS/SSL-инспекций и правил на Ideco NGFW VPP, но и настройки рабочей станции каждого пользователя в локальной сети.
При включенной опции расшифровки трафика браузер, антивирусы, клиенты IM и другое сетевое ПО на рабочей станции пользователя потребуют явного подтверждения на использование подменного сертификата, созданного и выданного NGFW VPP. Чтобы повысить удобство работы пользователя, установите в операционную систему рабочей станции корневой сертификат сервера Ideco NGFW VPP и сделайте его доверенным. Для этого выполните действия:
1. Скачайте корневой SSL-сертификат, открыв раздел веб-интерфейса Ideco NGFW VPP Сервисы -> Сертификаты -> Загруженные сертификаты:
2. Откройте на рабочей станции центр управления сертификатами: Пуск -> Выполнить, выполнив в диалоге команду mmc:
3. В меню Файл выберите Добавить или удалить оснастку:
4. В списке Доступные оснастки выберите Сертификаты, а затем нажмите кнопку Добавить:
5. В открывшемся окне выберите пункт Учетная запись компьютера и нажмите кнопку Далее:
6. В окне Выбор компьютера оставьте флаг Локальный компьютер и нажмите кнопку Готово.
7. В левой части окна нажмите на стрелку рядом с директорией Сертификаты (локальный компьютер) -> Доверенные корневые сертификаты -> Сертификаты:
8. В меню Действие выберите Все задачи -> Импорт:
9. Следуя инструкциям Мастера импорта сертификатов, импортируйте корневой сертификат сервера Ideco NGFW VPP. Импортированный сертификат появится в списке в правой части окна:
В сетях, где управление пользователями осуществляется с помощью Microsoft Active Directory, можно установить сертификат Ideco NGFW VPP для всех пользователей автоматически с помощью Active Directory. Для этого необходимо выполнить действия:
1. Скачать корневой SSL-сертификат, открыв раздел веб-интерфейса Ideco NGFW VPP Сервисы -> Сертификаты -> Загруженные сертификаты:
2. Зайдите на контроллер домена с правами администратора.
3. Запустите оснастку управления групповой политикой, выполнив команду gpmc.msc.
4. Найдите политику домена, использующуюся на компьютерах пользователей в Объектах групповой политики (Default Domain Policy). Нажмите на нее правой кнопкой мышки и выберите Изменить.
5. В открывшемся редакторе управления групповыми политиками выберите: Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Политики открытого ключа -> Доверенные корневые центры сертификации.
6. Нажмите правой кнопкой мыши по открывшемуся списку, выберите Импорт и импортируйте ключ Ideco NGFW VPP.
7. После перезагрузки рабочих станций или выполнения на них команды gpupdate /force сертификат появится в локальных хранилищах сертификатов и будет установлен нужный уровень доверия к нему.
