SSL Inspection utilizando certificado do dominio

Olá pessoal, hoje iremos falar de uma dúvida que temos recebido com grande frequência, e que tem incomodado bastantes os administradores de redes!

Conforme postado anteriormente pelo nosso amigo William “post”, “-fiz o bloqueio das paginas HTTPS, funcionou perfeitamente”, legal, mas os usuários  vivem recebendo o alerta de certificado invalido, e pior que isso realmente incomoda.

Uma forma de ser resolver esse problema é utilizar o certificado assinado pelo Domain Controller, já que por padrão as estações membro desse domínio confiam nesse certificado.

Bom vamos ao que interessa.

Primeiro, vamos instalar a feature de AD-CA no Domain Controller:

 

Capture

Avançar.

Capture8

Avançar.

Capture9

E avançar.

  • Na página seguinte  Tipo de CA, clique em CA Raiz e em Avançar.
  • Na pagina Especificar o tipo de Chave Picada e Configurar Criptografia para CA, você pode fazer configurações opcionais, inclusive provedores de serviços de criptografia. Entretanto, aceite os valores padrão clicando duas vezes em Avançar ou altere de acordo as politicas de segurança da empresa, neste caso estarei utilizando uma chave de 2048.
  • Na caixa Nome da autoridade de certificação, digite o nome comum da autoridade de certificação e clique em Avançar.

Capture11

  • Na página Definir Período de Validade do Certificado, aceite a duração de validade padrão para a autoridade de certificação raiz e clique em Avançar.
  • Na página Configurar Banco de Dados de Certificados, aceite os valores padrão ou especifique locais de armazenamento para o banco de dados de certificados e o log desse banco de dados e clique em Avançar.
  • Após verificar as informações na página Confirmar Opções de Instalação, clique em Instalar.

Se tudo deu certo, no servidor será possível acessar o endereço: http://localhost/certsrv/

Clique em Solicitar Certificado > Solicitação avançada de certificado > Envie uma solicitação de certificado usando o arquivo CMC ou PKCS #10 codificado na Base 64, ou envie uma solicitação de renovação usando um arquivo PKCS #7 codificado na Base 64

E por enquanto paramos por aqui.

Agora vamos ao Fortigate.

Primeiro vamos gerar a requisição do certificado para o Domain Controller.

Navegue até: System –> Certificates –> Generate

Vejam que estou utilizando o mesmo tamanho de chave anteriormente selecionado:

Capture12

Com a requisição de certificado criada, faça o download do arquivo e abra com um editor de texto:

—–BEGIN CERTIFICATE REQUEST—–
MIICqTCCAZECAQAwOzEYMBYGA1UEAxMPbGFiLnRydGVjLmxvY2FsMR8wHQYJKoZI
hvcNAQkBFhBsYWJAdHJ0ZWMuY29tLmJyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A
MIIBCgKCAQEAufaeZTkOZ415/UUBTVCCsXUhVvlP1qjIghQXeYSJHfThTdB0F6yr
GslOWSjHTyLBKLy08J4wUBcJALSE1CxMR2D5MQKBCATxIIiZto5EMFqRlEibTcMA
L8zC4im6PFnqdi53qsixAtUVs28Gd2kgVU0cumajcpp2+x3OkhhiNIbWYOSb42ne
C9WjDfh/jIGP5vL9SDR1OtmdgKiUefVyokxm+2SXrrM6gBFK6reO9erlkqFISR52
CPDSjTT66baIzqequFGrDz073xubal4ReRpKrSo1M1X8UvB1APqd70J55AcUhCtb
WNmeo/8ingVG0J0+4uG4x8pxJORb273LFQIDAQABoCkwJwYJKoZIhvcNAQkOMRow
GDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIFoDANBgkqhkiG9w0BAQsFAAOCAQEAr0Jf
//ehpFs4AX0rfFp7iZA+CJP7lVcWK3w5WdU6TCiN7MNybIJ48m6xzvX2e0Ke+8L5
+X5N5Q5qI6UPah1/W4k8HKAS3Qe2rZzOr65T96qFr7rzxlmp1AzK5XDFVUnXq1e5
cKTmMCmo15S2TcipeYuHKkZR0A3oGQdQ8y5XcFUj3w+71OXV+NOnRX54PkZCF0Mo
iH0c0ElWll8R+xuiHNmPXf0jiBAvcm8SbSpwJF2Ft0+mMFI5pmalfihcqbogEKxC
gNEXqiHNskhI0NxWTNto+hgeCYLEE9BarOvFJPWw2zsduJ6EP8Gqp9pA8gUtupPT
f4G/4gNfdSTwcoUa6g==
—–END CERTIFICATE REQUEST—–

Copie o conteúdo e cole naquela pagina que abrimos no servidor:

Capture15

Selecione em modelo de certificado “Subordinate Certification Authority” e clique em Enviar.

Faça o download do certificado (certnew.cer).

Agora vamos importar o certificado.

No Fortigate, acesse:

System -> Certificates -> Import -> Local Certificate e selecione o arquivo certnew.cer.

Capture16

E clique em OK, pronto agora já podemos usar o certificado do domínio para inspeção de SSL.

Próximo passo, criar um perfil de SSL Inspection:

Security Profile -> SSL Inspection

Clique no sinal de “+” para criar um novo profile:

Capture17

E é aqui que vamos informar ao Fortigate qual o certificado que será utilizado para inspecionar o trafego SSL:

Capture18

Agora vamos adicionar esse profile em nossa política de acesso a Internet.

Nesta política adicionei um profile de WebFilter com restrição de acesso a categoria “Social Networking”.

Capture19

Podemos ver que a estação somente por fazer parte do domínio onde habilitamos a função de AD-CA, ela recebe o certificado automaticamente, sem a necessidade de intervenção manual.

Capture20

Pronto, agora com a certificado do domínio que importamos para o Fortigate, o profile de SSL criado, o perfil de WebFilter aplicado na política de acesso a internet, vamos tentar o acesso:

Capture21

Com isso a mensagem de certificado não confiável não aparece mais, a pagina é bloqueada conforme o esperado e podemos ainda confirmar que o certificado utilizado para a inspeção foi o de “Sub-CA” que emitimos para o Fortigate.

E é isso pessoal, espero que tenham gostado.

Até o próximo post!

Fontes:

https://technet.microsoft.com/pt-br/library/cc772393%28v=ws.10%29.aspx

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *