Meine kleine Sophos UTM filtert brav den HTTP-Verkehr (Web Filter) und scannt ihn auf Viren und Malware, das funktioniert auch recht zuverlässig, es sei denn es handelt sich um verschlüsselte Webseiten (HTTPS). In der Standardeinstellung kann die UTM keinen verschlüsselten Verkehr scannen und somit auch keine Viren/Malware aussortieren.
Das lässt sich allerdings einfach ändern. Im Web Protection Feature der UTM gibt es die Option “Scan HTTPS (SSL) Traffic” der einfach angehakt werden kann:
Somit passiert folgendes:
Wenn ein Benutzer eine verschlüsselte Internetseite aufruft, terminiert die UTM die SSL Verbindung, scannt den Datenstrom, verschlüsselt die Seite neu und präsentiert sie dem Client. Für die erneute Verschlüsselung der Webseite benötigt die UTM eine CA, die sie praktischerweise direkt mitbringt
Wie das Ganze funktioniert sieht man in diesem Beispiel:
Zunächst der Aufruf von Google ohne “SSL Traffic Scan”
Das Zertifikat stammt von Google, ist gültig, kein Problem. Jetzt mit eingeschaltetem “SSL Traffic Scan”:
Nichts geht mehr. Hintergrund ist folgender. Dem Zertifikat der Sophos UTM Zertifizierungsstelle wird vom Client nicht vertraut. Der Browser erkennt sogar, dass da etwas ganz im Argen liegt und meldet eine Man-in-the-Middle Attacke:
Die Sicherheitszertifikatprobleme deuten eventuell auf den Versuch hin, Sie auszutricksen bzw. Daten die Sie an den Server gesendet haben abzufangen.
Jetzt könnte man das Zertifikat der Sophos CA natürlich einfach an jedem Client importieren, damit es als gültig anerkannt wird und auch keine Fehlermeldung mehr erscheint (siehe nächstes Bild), aber das wäre ja nur halb so schön, wo ich doch schon soviel zu Zertifikaten und CAs in MS Umgebungen geschrieben habe.
Da ich sowieso eine CA auf einem Windows Server im Einsatz habe, kann ich auch direkt eine Zwischenzertifizierungsstelle auf der UTM einrichten, die durch die Windows CA (meine Root-CA) signiert wird. Dadurch habe ich den Vorteil das ich das Zertifikat der UTM auch sperren kann, wenn es mal ein Sicherheitsproblem gibt, dies wäre nicht möglich wenn ich das Zertifikat der Standard UTM CA auf den Clients importiere. Da die UTM scheinbar keine Zertifikatsanforderung für seine CA generieren kann (zumindest habe ich es nicht gefunden), generiere ich das Zertifikat auf einem andern Server. Mehr dazu gleich. Zuerst die Windows CA vorbereiten.
In den Zertifikatsvorlagen die Vorlage “Untergeordnete Zertifizierungsstelle” duplizieren
Der neuen Vorlage einen schönen Namen geben und das Häkchen bei “Zertifikat im AD veröffentlichen” setzen
Auf dem Reiter Sicherheit dem Domain Admin und dem Computer Konto der CA selbst Vollzugriff auf die Vorlage geben
Jetzt die neue Vorlage veröffentlichen
Die CA ist bereit für das Erstellen einer Sub-CA. Zeit das Zertifikat für die untergeordnete CA zu besorgen, dazu in der Zertifikate MMC auf der CA ein neues Zertifikat beantragen
Dann die neue Vorlage auswählen
Wenn das Häkchen bei der Vorlage gesetzt ist, auf den Text darunter klicken und die Werte ergänzen:
- Allgemeiner Name
- Land
- Ort
- Organisation
- Organisationseinheit
- DNS (hier kann der externe Name der UTM stehen)
Auf dem Reiter “Allgemein” noch einen Anzeigenamen vergeben und auf OK klicken
Jetzt noch das Zertifikat registrieren und es sollte so aussehen
In der MMC findet sich jetzt das Zertifikat für die Sub-CA
Das Zertifikat muss nun exportiert werden
Wichtig! Das Zertifikat muss 2 mal exportiert werden, einmal mit privaten Schlüssel, und einmal ohne. Hier das Beispiel mit privaten Schlüssel:
Im nächsten Dialog auch die erweiterten Eigenschaften exportieren
Dann noch ein Kennwort angeben und das Zertifikat speichern. Wenn das Zertifikat exportiert wurde, kann es aus der MMC gelöscht werden. Das Zertifikat mit dem privaten Schlüssel (PFX) wird nun auf der Sophos UTM importiert
Wenn der Import erfolgreich war, sieht es so aus:
Das Zertifikat _OHNE DEN PRIVATEN SCHLÜSSEL_ (.CER) müsst ihr jetzt auf den Clients importieren, am besten per GPO in die “Vertrauenswürdigen Zwischenzertifizierungsstellen”
Sobald das erledigt ist, könnt ihr den Haken bei “Scan HTTPS (SSL) Traffic” setzen und Google sieht nun so aus:
So gefällt mir das.