Contents

Rubriques Connexes

Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS

De nombreux sites Web utilisent des protocoles HTTP et HTTPS en parallèle pour envoyer des informations aux utilisateurs. Si l'on peut facilement examiner le trafic HTTP, le trafic HTTPS est chiffré. Pour examiner le trafic HTTPS demandé par un utilisateur de votre réseau, vous devez configurer votre Firebox de sorte qu'il déchiffre les informations, puis les chiffre à l'aide d'un certificat signé par une Autorité de Certification approuvée par chaque utilisateur du réseau.

Pour plus d'informations sur les certificats avec l'inspection de contenu du proxy HTTPS, voir HTTPS-Proxy : inspection du contenu.

Certificats de Proxy HTTPS

Lorsque votre périphérique analyse une connexion HTTPS, le Proxy HTTPS intercepte la requête HTTPS et initie sa propre connexion au serveur HTTPS de destination. Le Proxy HTTPS de votre périphérique présente son propre certificat de révocation au client d'origine et se connecte au serveur HTTPS de destination au nom du client. Le certificat de révocation peut être soit le Certificat d'Autorité Proxy par Défaut, soit un Certificat d'Autorité de Certification.

Certificat d'Autorité Proxy par Défaut

Vous pouvez utiliser le Certificat d'Autorité Proxy autosigné par défaut sur le périphérique Firebox pour les fonctions d'inspection du contenu Proxy HTTPS. Votre périphérique chiffre à nouveau le contenu qu'il a inspecté avec ce certificat autosigné d'Autorité Proxy. Lorsque vous utilisez ce certificat par défaut, les utilisateurs finaux ne disposant pas d'une copie de ce certificat verront apparaître un avertissement sur leur navigateur Web lorsqu'ils se connectent à un site sécurisé en HTTPS. Afin d'éviter ces alertes, vous pouvez exporter le certificat d'Autorité Proxy du périphérique Firebox et importer le certificat sur vos périphériques clients.

Pour plus d'informations sur l'exportation du Certificat d'Autorité de Certification de l'Autorité Proxy par défaut, voir Exporter un Certificat à Partir de Votre Firebox.

Pour plus d'informations sur l'importation de ce certificat sur vos périphériques clients, voir Importer un certificat sur un client périphérique.

Un client peut aussi télécharger et installer le certificat de l'Autorité de Proxy à partir du Portail de Certificats sur le Firebox à l'adresse http://<adresse IP du Firebox>:4126/certportal. Pour plus d'informations, voir Portail de Certificats.

Certificat d'autorité de certification

Si votre organisation possède déjà une Infrastructure à Clé Publique (PKI) configurée avec une Autorité de Certification approuvée, vous pouvez importer sur votre Firebox un certificat signé par l'autorité de certification de votre organisation. Si le Certificat d'Autorité de Certification n'est pas automatiquement approuvé, vous devez importer chaque certificat le précédant dans la chaîne de confiance pour que cette option fonctionne correctement.

Les fournisseurs de certificats publics ne transmettront pas de Certificat d'Autorité de Certification permettant de signer d'autres certificats. Par conséquent, si vous tentez d'utiliser un certificat signé par une autorité de certification publique tierce, le navigateur de vos utilisateurs affichera un avertissement de certificat. Nous vous recommandons d'utiliser un certificat signé par votre propre autorité de certification interne.

Par exemple, si votre organisation utilise les services de Certificat Active Directory de Microsoft, vous pouvez :

Vous devez créer un certificat d'Autorité de Certification capable de signer à son tour d'autres certificats. Si vous créez une demande de signature de certificat dans Firebox System Manager et qu'elle est signée par une Autorité de Certification reconnue, elle peut servir de certificat d'Autorité de Certification. Si le site Web distant utilise un certificat périmé, ou si le certificat est signé par une Autorité de Certification que votre périphérique ne reconnaît pas, ce dernier signe à nouveau le contenu en tant que Proxy HTTPS Fireware : Certificat Non Reconnu ou simplement Certificat Non Valide.

Examiner le contenu des serveurs HTTPS externes

Avant d'activer cette fonctionnalité, nous vous recommandons de fournir le ou les certificats utilisés pour signer le trafic HTTPS à tous les clients de votre réseau. Vous pouvez joindre les certificats à un courrier électronique d'instructions ou utiliser le logiciel de gestion de réseau pour installer automatiquement les certificats. Nous vous recommandons également de tester le proxy HTTPS pour un petit nombre d'utilisateurs afin de vous assurer qu'il fonctionne correctement avant de l'appliquer au trafic d'un réseau plus important.

Pour plus d'informations sur l'importation des certificats vers les clients, voir Importer un certificat sur un client périphérique.

Si d'autres trafics utilisent le port HTTPS, comme le trafic VPN SSL, nous vous recommandons d'évaluer attentivement la fonction d'inspection du contenu. Pour garantir le bon fonctionnement des autres sources de trafic, nous vous recommandons d'ajouter des règles de nom de domaine avec l'action Autoriser pour ignorer l'inspection de ces adresses IP.
Pour plus d'informations, voir Proxy HTTPS : Règles de Nom de Domaine.

Pour ajouter une stratégie de proxy afin d'examiner le contenu des serveurs HTTPS externes dans Policy Manager :Closed
  1. Cliquez sur l'icône Ajouter une stratégie .
    Sinon, sélectionnez Modifier Ajouter une stratégie.
    La boîte de dialogue Ajouter une Stratégie s'ouvre.
  2. Sélectionnez Proxy HTTPS. Cliquez sur Ajouter une stratégie.
    La boîte de dialogue Propriétés de la nouvelle stratégie apparaît, avec l'onglet Stratégie sélectionné.
  3. À côté de la liste déroulante Action de proxy, cliquez sur Bouton Afficher/Modifier le proxy.
    La boîte de dialogue Configuration d'action proxy HTTPS apparaît, avec la catégorie Inspection de contenu sélectionnée.
  4. Dans la section Synthèse de l'Inspection du Contenu, cliquez sur Modifier.
  5. Cochez la case Activer l'Inspection de Contenu.
  6. Sélectionnez les options souhaitées pour la validation du certificat OCSP.
  7. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de l'Inspection de Contenu.
  8. Configurez des règles de nom de domaine avec l'action Inspecter et sélectionnez l'action de proxy HTTP à utiliser pour l'inspection.
    Pour plus d'informations, voir Proxy HTTPS : Règles de Nom de Domaine.
  9. Cliquez sur OK pour fermer la boîte de dialogue Configuration d'une action pour le proxy HTTPS.
    La boîte de dialogue Cloner l'objet prédéfini ou créé par DVCP apparaît.
  10. Dans la zone de texte Nom, entrez le nom de l'action de proxy.
    Par exemple, entrez HTTPS-Client-Inspecter.
  11. Cliquez sur OK.
  12. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie.
  13. Dans la boîte de dialogue Ajouter une stratégie, cliquez sur Fermer.
Pour ajouter une stratégie de proxy afin d'examiner le contenu des serveurs HTTPS externes dans Fireware Web UI :Closed
  1. Sélectionnez Pare-feu > Stratégies de Pare-feu.
    La page Stratégies de pare-feu s'affiche.
  2. Cliquez sur Ajouter une stratégie.
    La page Ajouter une Stratégie de pare-feu s'affiche.
  3. Sélectionnez le type de stratégie Proxies.
  4. Dans la liste déroulante Proxies, sélectionnez Proxy HTTPS et l'action de proxy HTTPS-Client.Standard.
  5. Cliquez sur Ajouter une stratégie.
    La page Ajouter apparaît pour le proxy HTTPS.
  6. Sélectionnez l'onglet Action de Proxy.
  7. Dans la liste déroulante Action de Proxy, sélectionnez Cloner l'action de proxy actuelle.
  8. Dans la zone de texte Nom, saisissez le nom pour cette action de proxy.
    Par exemple, entrez HTTPS-Client-Inspecter.
  9. Dans la section Synthèse de l'Inspection du contenu, cliquez sur Modifier.
  10. Cochez la case Activer l'Inspection de Contenu.
  11. Sélectionnez les options souhaitées pour la validation du certificat OCSP.
  12. Cliquez sur OK.
  13. Configurez des règles de nom de domaine avec l'action Inspecter et sélectionnez l'action de proxy HTTP à utiliser pour l'inspection.
    Pour plus d'informations, voir Proxy HTTPS : Règles de Nom de Domaine.
  14. Cliquez sur Sauvegarder.

Lorsque vous activez l'inspection du contenu et que vous sélectionnez l'action Inspecter dans l'action de proxy HTTPS, vous sélectionnez une action de proxy HTTP à utiliser pour l'inspection. Vous pouvez sélectionner l'action Inspecter dans les règles de nom de domaine et vous pouvez activer l'inspection des catégories WebBlocker autorisées dans l'action de proxy HTTPS.

Pour plus d'informations sur la configuration WebBlocker dans le proxy HTTPS, consultez Proxy HTTPS : WebBlocker.

Protéger un Serveur HTTPS Privé

Pour fournir une meilleur expérience utilisateur, le proxy HTTPS ne certifie pas la validation pour les requêtes entrantes vers un serveur HTTPS privé sur votre réseau. Les navigateurs clients verront le certificat du Serveur Proxy après l'inspection du contenu.

Pour plus de sécurité, nous vous recommandons d'importer le certificat d'Autorité de Certification utilisé pour signer le certificat du serveur HTTPS. Ensuite, importez le certificat du serveur HTTPS avec la clé privée associée. Si le certificat d'autorité de certification utilisé pour signer le certificat de serveur HTTPS n'est pas automatiquement approuvé, vous devez importer chaque certificat approuvé dans l'ordre pour que cette option fonctionne correctement. Une fois tous les certificats importés, configurez le proxy HTTPS.

Pour ajouter une stratégie pour inspecter les requêtes vers un serveur HTTPS privé, dans Policy Manager :Closed
  1. Cliquez sur l'icône Ajouter une stratégie .
    Sinon, sélectionnez Modifier Ajouter une stratégie.
    La boîte de dialogue Ajouter des stratégies s'ouvre.
  2. Sélectionnez Proxy HTTPS. Cliquez sur Ajouter une stratégie.
    La boîte de dialogue Propriétés de la nouvelle stratégie apparaît avec l'onglet Stratégie sélectionné.
  3. Dans la liste déroulante action de Proxy, sélectionnez HTTPS-Server.Standard.
  4. À côté de la liste déroulante Action de proxy, cliquez sur Bouton Afficher/Modifier le proxy.
    La boîte de dialogue Configuration d'action proxy HTTPS apparaît, avec la catégorie Inspection de contenu sélectionnée.
  5. Dans la section Synthèse de l'Inspection du Contenu, cliquez sur Modifier.
  6. Cochez la case Activer l'Inspection de Contenu.
  7. Cliquez sur OK pour fermer la boîte de dialogue Paramètres de l'Inspection de Contenu.
  8. Configurez des règles de nom de domaine avec l'action Inspecter et sélectionnez l'action de proxy HTTP à utiliser pour l'inspection.
    Pour plus d'informations, voir Proxy HTTPS : Règles de Nom de Domaine.
  9. Cliquez sur OK pour fermer la boîte de dialogue Configuration d'une action pour le proxy HTTPS.
    La boîte de dialogue Cloner l'objet prédéfini ou créé par DVCP apparaît.
  10. Dans la zone de texte Nom, entrez le nom de l'action de proxy.
    Par exemple, entrez HTTPS-Serveur-Inspecter.
  11. Cliquez sur OK.
  12. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la nouvelle stratégie.
  13. Dans la boîte de dialogue Ajouter une stratégie, cliquez sur Fermer.
Pour ajouter une stratégie pour inspecter les requêtes vers un serveur HTTPS privé dans Fireware Web UI :Closed
  1. Sélectionnez Pare-feu > Stratégies de Pare-feu.
    La page Stratégies de pare-feu s'affiche.
  2. Cliquez sur Ajouter une stratégie.
    La page Ajouter une Stratégie de pare-feu s'affiche.
  3. Sélectionnez le type de stratégie Proxies.
  4. Dans la liste déroulante Proxies, sélectionnez Proxy HTTPS et l'action de proxy HTTPS-Serveur.Standard.
  5. Cliquez sur Ajouter une stratégie.
    La page Ajouter apparaît pour le proxy HTTPS.
  6. Sélectionnez l'onglet Action de Proxy.
  7. Dans la liste déroulante Action de Proxy, sélectionnez Cloner l'action de proxy actuelle.
  8. Dans la zone de texte Nom, saisissez un nom pour cette action de proxy.
    Par exemple, entrez HTTPS-Serveur-Inspecter.
  9. Dans la section Synthèse de l'Inspection du contenu, cliquez sur Modifier.
  10. Cochez la case Activer l'Inspection de Contenu.
  11. Cliquez sur OK.
  12. Configurez des règles de nom de domaine avec l'action Inspecter et sélectionnez l'action de proxy HTTP à utiliser pour l'inspection.
    Pour plus d'informations, voir Proxy HTTPS : Règles de Nom de Domaine.
  13. Cliquez sur Sauvegarder.

Dépanner les Problèmes avec l'Inspection du Contenu HTTPS

Votre périphérique crée souvent des messages de journaux de trafic en cas de problème avec un certificat utilisé pour l'inspection du contenu HTTPS. Nous vous recommandons de consulter ces messages de journaux pour obtenir de plus amples informations.

Si les connexions aux serveurs Web distants sont fréquemment interrompues, vérifiez que vous avez bien importé tous les certificats nécessaires pour approuver le certificat d'Autorité de Certification utilisé pour chiffrer à nouveau le contenu HTTPS, ainsi que les certificats nécessaires pour approuver le certificat du serveur Web d'origine. Vous devez importer tous ces certificats sur votre périphérique et sur chaque périphérique client pour que les connexions s'établissent.

Voir aussi

À propos des certificats

À propos du proxy HTTPS

Gérer les Certificats de Périphérique (WSM)

Gérer les Certificats de Périphérique (Web UI)

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.