Cómo lograr SSL Proxy de reenvío si el certificado raíz ya está presente en una gran cantidad de puntos finales.

Cómo lograr SSL Proxy de reenvío si el certificado raíz ya está presente en una gran cantidad de puntos finales.

9705
Created On 09/25/22 15:23 PM - Last Modified 01/31/23 01:44 AM


Objective


En SSL el descifrado de proxy de reenvío, el es un intermediario entre el cliente interno y el firewall servidor externo. El firewall utiliza certificados para representar de forma transparente al cliente ante el servidor y para representar de forma transparente el servidor ante el cliente, de modo que el cliente crea que se está comunicando directamente con el servidor (aunque la sesión de cliente sea con el ), y el servidor crea que se está comunicando directamente con el cliente (aunque la sesión del servidor también sea con el firewallfirewall). El firewall utiliza certificados para establecerse como un tercero de confianza (man-in-the-middle) para la sesión cliente-servidor. 

Para una gran infraestructura ya que tienen usuarios de todo el mundo. Se puede lograr creando un certificado raíz como confianza directa o creando un certificado autofirmado e instalándolo manualmente en todas las máquinas locales y creando un certificado bajo el certificado raíz con la confianza de reenvío marcada.

Environment


  • Próxima generación Firewall
  • A Un gran número de puntos finales necesitan acceder a un sitio web interno en particular como un sitio seguro.

Procedure


  1. Convertir el certificado raíz en confianza directa:
    1. Para que funcione, el certificado raíz grita tener CA y la clave marcada. De modo que si el certificado raíz ya está presente en todos los dispositivos a nivel mundial, podemos verificar el certificado raíz como el certificado Forward Trust.
imagen (14).png
  1. Si el certificado raíz no tiene clave o CA marcada, entonces no obtendríamos una opción para verificar el Certificado de confianza hacia adelante.
comprobado.png

  1. Instalándolo manualmente en todos los puntos finales:

    1. Este método en algún momento no podría ser posible en base a la mayoría de las políticas de la compañía. Esto se puede lograr haciendo que este certificado se inserte desde el objeto de grupo ( GPO ), que es una herramienta de Policy terceros.

  2. Cree un certificado autofirmado con la opción Forward Trust marcada:

    1. Nota: los CN nombres no deben ser idénticos o este método no funcionará.

imagen (15).png

Additional Information


SSL Proxy reenviado
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlduCAA&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language