HTTPS/SSL Interception: Importação de Certificado (CA)



  • Bom dia, Prezados (as).

    Eu instalei o Pfsense 2.3 (i386), Squid (0.4.16_2) e SquidGuard (1.14_3) em uma rede com aproximadamente 30 (trinta) computadores. Não obstante, estou utilizando "Proxy Transparente" na LAN (Porta: 3128 [Proxy] e 3129 [SSL Proxy]). Enfim, tudo está funcionando corretamente!

    Ocorre que, ao importar o certificado (CA), cujo nome "CA-FW", por ex., para dentro do navegador "Chrome". Este, é instalado automaticamente nessa partição: Autoridades de Certificação Intermediárias ao invés de Autoridades de Certificação Raiz Confiáveis. Em alguns casos, aquele certificado nem aparece, ou melhor, não é importado para dentro do "browser", mesmo que tal procedimento seja feito manualmente por mim. Por último, esse problema está ocorrendo em apenas alguns computadores (minoria).

    Nota: Esse certificado foi gerado por meio do próprio PFsense.

    Enfim, alguém saberia me dizer como eu faço para resolver esse problema? Afinal, eu pesquisei essa solução em vários posts da nossa comunidade, mas infelizmente não achei nada que tratasse especificamente a respeito dela.

    Agradeço desde já pela ajuda, muito obrigado!

    Um forte abraço!

    Att.

    Jollenbeck



  • O Chrome utiliza os mesmos certificados do IE, basta clicar 2x no certificado e irá abrir tela com as informações dele, depois clique em:
    Instalar  Certificado / Avançar / Colocar todos os certificados no repositório a seguir / Clica em "Procurar" e seleciona Autoridades de Certificação Raiz confiáveis.



  • Bom dia, gui.ap.

    Primeiramente, eu lhe agradeço pelo retorno, mas eu já havia realizado o procedimento que você me indicou e, infelizmente, não tinha dado certo.

    Seguem abaixo, os testes que eu já havia executado, antes de abrir esse post:

    1. Teste:

    Cliquei 2 (duas) vezes em cima do certificado "CA-FW". Depois, cliquei na opção "Instalar Certificado". No local de repositório, eu selecionei a opção "Máquina Local". Em seguida, cliquei no botão "Procurar". E, por fim, selecionei a 2º opção, que é "Autoridades de Certificação Raiz Confiáveis", concluindo assim, a instalação daquele.

    2. Teste:

    Eu acessei as configurações avançadas do "Chrome". Em seguida, cliquei na opção "Gerenciar Certificados…", que fica dentro de "HTTPS/SSL". Feito isso, cliquei no repositório "Autoridades de Certificação Raiz Confiáveis". E, por fim, cliquei no botão "importar". Depois, selecionei o certificado que eu havia gerado por meio do PFsense, no caso, o "CA-FW". Por último, cliquei em "Avançar", e depois apareceu-me a mensagem de que este certificado foi importado com êxito.

    3. Teste:

    Criei um GPO no meu servidor de rede (AD), obrigando que este certificado "CA-FW" fosse instalado em todos os computadores da rede, assim que os usuários do domínio fizessem "logon" nos seus respectivos computadores.

    Resultado dos Testes:

    #O certificado "CA-FW" foi instalado corretamente em 80% dos computadores da rede.

    #O certificado "CA-FW" foi instalado no repositório "Autoridades de Certificação Intermediárias" ao invés de ser instalado neste repositório "Autoridades de Certificação Raiz Confiáveis". Isso ocorreu em 15% dos computadores da rede.

    #O certificado "CA-FW" não foi instalado em nenhum repositório, vale dizer, foi executado tanto o procedimento manual, quanto o automático, mas aquele certificado não apareceu em nenhum repositório de certificação. Isso ocorreu em apenas 5% dos computadores da rede.

    Diante o exposto, resta-me apenas uma simples pergunta: Por que tal certificado não funcionou naqueles 20%, sendo que o procedimento de instalação foi o mesmo adotado nos demais computadores da rede, os quais representam 80%?

    Bom é isso, mas uma vez muito obrigado pela ajuda. Se você tiver alguma outra sugestão, por favor, não hesite em falá-la. Eu, neste momento, por exemplo, estou tentando ver se encontro algo no "regedit" do Windows, que permita eu mudar o local dos repositórios de certificação. Se eu conseguir alguma solução para o caso em tela, eu a postarei para vocês, ok!  ;)

    Um forte abraço!

    Grato,

    Jollenbeck



  • eu tambem tenho a mesma dificuldade com o Chrome, acredito ser as atualizações de segurança do próprio navegador, se voce usar outros navegadores com o procedimento que ja fez, vai perceber que funciona normalmente. Talvez a solução seja adquirir um certificado WEB gratuito ou pago para poder fazer funcionar. Estou fazendo meus testes ainda, mas assim que tiver uma ideia posto aqui.


Log in to reply