SSL本來就是用來防止這類事情的,不想讓client 出現警告的話就要讓client信任FW的憑證,一般是透過GPO做,您自己研究一下吧....
想要將SSL憑證解密以檢核資安威脅的觀念是對的
但是要注意網路流量的方向
出網的流量要嵌憑證到user端
入網訪問的流量要將憑證塞入防火牆
現在太多防火牆只有路由器的功用
NGFW的功能幾乎都沒有了
自簽的根憑證要安裝在每台電腦內,就不會出現憑證的告警訊息
一般是用AD環境去派送,少部分測試可以在Decryption的Policy中做設定
沒有AD環境的情況下就是手動上,或是有其他的第三方軟體可以協助處理
付費的公鑰憑證也不能讓網頁正常瀏覽, 重點是要安裝防火牆的私發公鑰
SSL INSPECTION 本質就是 MAN-IN-MIDDLE
由FIREWALL"代理"你去抓網頁, 再由FIREWALL模仿成"該網頁"去回應你請求
好了, 那你PC要怎樣才相信有關的"模仿"呢, 因為CA會被改成由FIREWALL發出的
就是把防火牆的公鑰放到你要INSPECTION的客戶上
目前是行內唯一做法
好了, 那去買個私發公鑰總可以了吧?
私發公鑰一舨只會認可一個指定網域, 比如 *.abc.com
你可別想買個公鑰CN是 * . * , 不會給你的. 放棄吧.
iThome鐵人賽
看影片追技術