Comment obtenir SSL un proxy de transfert si le certificat racine est déjà présent sur un grand nombre de points de terminaison.

Comment obtenir SSL un proxy de transfert si le certificat racine est déjà présent sur un grand nombre de points de terminaison.

9709
Created On 09/25/22 15:23 PM - Last Modified 01/31/23 01:44 AM


Objective


Dans SSL le déchiffrement du proxy direct, le est un homme du milieu entre le client interne et le firewall serveur externe. Le firewall utilise des certificats pour représenter de manière transparente le client sur le serveur et pour représenter de manière transparente le serveur auprès du client afin que le client pense qu’il communique directement avec le serveur (même si la session client est avec le ), et que le serveur pense qu’il communique directement avec le client (même si la session serveur est également avec le firewallfirewall). Le firewall utilise des certificats pour s’établir en tant que tiers de confiance (man-in-the-middle) pour la session client-serveur. 

Pour une grande infrastructure car ils ont des utilisateurs du monde entier. Soit cela peut être réalisé en créant un certificat racine en tant qu’approbation de transfert, soit en créant un certificat auto-signé et en l’installant manuellement sur toutes les machines locales et en créant un certificat sous le certificat racine avec l’approbation de transfert cochée.

Environment


  • Nouvelle génération Firewall
  • A Un grand nombre de points de terminaison doivent accéder à un site Web interne particulier en tant que site sécurisé.

Procedure


  1. Faire du certificat racine une approbation de transfert :
    1. Pour le faire fonctionner, le cri de certificat racine a et la clé a CA été vérifiée. De sorte que si le certificat racine est déjà présent dans tous les appareils du monde, nous pouvons être en mesure de vérifier le certificat racine en tant que certificat de confiance directe.
image (14).png
  1. Si le certificat racine n’a pas de clé ou CA coché, nous n’aurions pas d’option pour vérifier le certificat de confiance de transfert.
coché.png

  1. Installation manuelle sur tous les points de terminaison :

    1. Cette méthode ne pourrait parfois pas être possible sur la base de la plupart des politiques de l'entreprise. Cela peut être réalisé en faisant en sorte que ce certificat soit poussé à partir de l’objet Group Policy ( GPO ) qui est un outil tiers.

  2. Créez un certificat auto-signé avec l’approbation de transfert cochée: -

    1. Remarque: les CN noms ne doivent pas être identiques ou cette méthode ne fonctionnera pas.

image (15).png

Additional Information


SSL Proxy vers l’avant
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000wlduCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language