Sophos Web Proxy CA Zertifikat

Sobald man sich dazu entscheidet einen Sophos Web-Proxy einzusetzen sollte man auch dafür sorgen, dass der letztendliche Endanwender so wenige dadurch beeinträchtigt wird wie möglich!

Da der Sophos Web-Proxy nach aktivierung nun aber alle ausgehenden Web-Anfragen entgegennimmt und verarbeitet müssen wir sicherstellen, dass auch die Clients innerhalb des Netzwerk diesem Proxy vertrauen. Nur so kann sichergestellt werden, dass beim aufrufen vom Websites, die durch den Proxy blockiert werden keine Zertifikatswarnung, sondern ein Hinweis erscheint, der dem Benutzer mitteilt, dass diese Website durch die Sophos Firewall blockiert wird.

Proxy CA Zertifikat herunterladen:

Um das entsprechende Zertifikat zunächst herunterzuladen muss man sich als erstes auf der Sophos Firewall selbst anmelden.

Danach unter „Web-Protection“ in den Reiter „Fiteroptionen“ wechseln.

Danach dort auf den Reiter „HTTPS CAs“ wechseln und anschließend mit einem Klick auf „Download“ die aktuelle CA herunterladen.

Es erscheint ein kleines Pop-Up in dem man das Zertifikatsformat wählen kann und ein Kennwort zur Verschlüsselung des Zertifikats festlegen kann.

Alternativ zu dieser Downloadvariante kann man das Zertifikat auch unter folgendem Link direkt herunterladen:

Proxy CA Zertifikat ausrollen

Das Zertifikat kann nun entweder manuell an jedem Client in den Zertifikatsspeicher der vertrauenswürdigen Stammzertifizierungsstellen installiert werden oder man macht dies per GPO (Gruppenrichlinie).

Im folgenden Beispiel mache ich es mit einer Gruppenrichtlinie!

Zunächst einmal sollte ein neues Gruppenrichlinienobjekt erstellt und entsprechend benannt werden.

Danach kann diese über einen Rechtsklick -> Bearbeiten editiert werden. 

Im Gruppenrichlinien-Editor dann in folgenden Pfad navigieren:

Computerkonfiguration/Windows-Einstellungen/Sicherheitseinstellungen/Richtlinien für öffentliche Schlüssel/Vertrauenswürdige Stammzertifizierungsstellen/

Mit einem Rechtsklick in die dortige freie Fläche kann die Option „Importieren“ gewählt werden

Im nächsten Schritt kann ohnehin nur auf weiter geklickt werden, was wir auch machen.

Danach wird der Pfad zur Zertifikats Datei ausgewählt und ebenfalls mit „Weiter“ bestätigt.

Danach muss noch das Kennwort eingegeben, was am Anfang beim Download von der Firewall angegeben wurde. 

Die nächsten beiden Schritte können mit einem Klick auf „Weiter“ und „Fertig stellen“ zur Kenntnis genommen werden.

Danach sollte das Zertifikat nach und nach auf allen Windows Clients im Netzwerk landen.