So erreichen SSL Sie Forwardproxy, wenn das Stammzertifikat bereits auf einer großen Anzahl von Endpunkten vorhanden ist.

So erreichen SSL Sie Forwardproxy, wenn das Stammzertifikat bereits auf einer großen Anzahl von Endpunkten vorhanden ist.

9707
Created On 09/25/22 15:23 PM - Last Modified 01/31/23 01:44 AM


Objective


Bei SSL der Forward-Proxy-Entschlüsselung ist das firewall ein Man-in-the-Middle zwischen dem internen Client und dem externen Server. Der firewall verwendet Zertifikate, um den Client transparent für den Server und den Server für den Client transparent darzustellen, so dass der Client glaubt, dass er direkt mit dem Server kommuniziert (obwohl die Clientsitzung mit dem ist), und der Server glaubt, dass er direkt mit dem Client kommuniziert (obwohl die Serversitzung auch mit dem firewallfirewallist). Der firewall verwendet Zertifikate, um sich als vertrauenswürdiger Drittanbieter (man-in-the-middle) für die Client-Server-Sitzung zu etablieren. 

Für eine große Infrastruktur, da sie Benutzer aus der ganzen Welt haben. Entweder kann dies erreicht werden, indem ein Stammzertifikat als Weiterleitungsvertrauen erstellt wird oder ein selbstsigniertes Zertifikat erstellt und es manuell auf allen lokalen Computern installiert und ein Zertifikat unter dem Stammzertifikat mit aktiviertem Forward-Trust erstellt wird.

Environment


  • Nächste Generation Firewall
  • A Eine große Anzahl von Endpunkten muss auf eine bestimmte interne Website als gesicherte Website zugreifen.

Procedure


  1. Erstellen des Stammzertifikats als Forward-Vertrauensstellung:
    1. Damit es funktioniert, muss das Stammzertifikat aufgerufen und der Schlüssel überprüft werden CA . Wenn das Stammzertifikat bereits in allen Geräten weltweit vorhanden ist, können wir das Stammzertifikat als Forward Trust-Zertifikat überprüfen.
Bild (14).png
  1. Wenn das Stammzertifikat keinen Schlüssel hat oder CA aktiviert ist, erhalten wir keine Option zum Überprüfen des Forward Trust Certificate.
geprüft.png

  1. Manuelle Installation auf allen Endpunkten:

    1. Diese Methode konnte manchmal nicht möglich sein, basierend auf den meisten Richtlinien des Unternehmens. Dies kann erreicht werden, indem dieses Zertifikat von Group Policy Object ( GPO ), einem Drittanbieter-Tool, übertragen wird.

  2. Erstellen Sie ein selbstsigniertes Zertifikat mit aktivierter Forward-Vertrauensstellung:

    1. Hinweis: Die CN Namen sollten nicht identisch sein, da diese Methode sonst nicht funktioniert.

Bild (15).png

Additional Information


SSL Forward-Proxy
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlduCAA&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language