Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия | |||
https50 [2020/01/27 16:28] 127.0.0.1 внешнее изменение |
https50 [2020/07/20 15:24] (текущий) annet |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
- | =====Настройка HTTPS-фильтрации===== | + | ===== Настройка HTTPS-фильтрации ===== |
Для того, чтобы получить возможность фильтровать HTTPS-трафик пользователей, необходимо сделать следующее: | Для того, чтобы получить возможность фильтровать HTTPS-трафик пользователей, необходимо сделать следующее: | ||
- | 1. Добавить корневой сертификат (СА) со стандартными настройками в модуле [[сертификаты]]. | + | 1. Добавить корневой сертификат (СА) со стандартными настройками в модуле [[:сертификаты|]]. |
- | {{ics6-https-1.jpg}} | + | Для того, чтобы сертификат работал длительное время и не было необходимости менять его на конечных пользователях, установите дату окончания сертификата более чем 1 год (по умолчанию). Остальные параметры сертификата оставьте по умолчанию. |
- | + | ||
- | Для того, чтобы сертификат работал длительное время и не было необходимости менять его на конечных пользователях, установите дату окончания сертификата более чем 1 год (по умолчанию). Остальные параметры сертификата оставьте по умолчанию. | + | |
- | + | ||
- | {{ics6-https-2.jpg}} | + | |
После нажатия кнопки "Добавить" система спросит, нужно ли шифрование ключа. Укажите "Не шифровать закрытый ключ". | После нажатия кнопки "Добавить" система спросит, нужно ли шифрование ключа. Укажите "Не шифровать закрытый ключ". | ||
- | {{ics6-https-3.jpg}} | + | 2. Выбрать данный сертификат в поле "Сертификат для HTTPS-фильтрации" модуля [[:прокси|]]. |
- | + | ||
- | 2. Выбрать данный сертификат в поле "Сертификат для HTTPS-фильтрации" модуля [[прокси]]. | + | |
После этого необходимо выбрать один из двух режимов работы фильтрации: | После этого необходимо выбрать один из двух режимов работы фильтрации: | ||
Строка 21: | Строка 15: | ||
**Фильтровать весь HTTPS-трафик с расшифровкой**. В этом режиме весь проходящий трафик будет расшифровываться посредством подмены сертификата. После этого правила фильтрации начнут работать, однако в связи с подменой сертификата при запросе браузер пользователя будет сообщать о некорректном сертификате. Чтобы исключить данную ошибку, необходимо сделать следующее: | **Фильтровать весь HTTPS-трафик с расшифровкой**. В этом режиме весь проходящий трафик будет расшифровываться посредством подмены сертификата. После этого правила фильтрации начнут работать, однако в связи с подменой сертификата при запросе браузер пользователя будет сообщать о некорректном сертификате. Чтобы исключить данную ошибку, необходимо сделать следующее: | ||
- | {{ics6-https-4.jpg}} | + | В модуле [[:сертификаты|]] экспортировать данный сертификат на машину конечного пользователя. Экспорт ключа сертификата не требуется. |
- | + | ||
- | В модуле [[сертификаты]] экспортировать данный сертификат на машину конечного пользователя. Экспорт ключа сертификата не требуется. | + | |
На каждом клиентском компьютере добавить сертификат в доверенные корневые центры сертификации. | На каждом клиентском компьютере добавить сертификат в доверенные корневые центры сертификации. | ||
- | |||
- | {{ics6-https-5.jpg}} | ||
Это делается следующим образом (на примере Windows 7): дважды кликните на сертификат. Нажмите кнопку "Установить сертификат". Откроется мастер импорта сертификата. Когда мастер спросит выбор места хранения сертификата, выберите "поместить все сертификаты в следующее хранилище", нажмите кнопку "Обзор" и выберите "доверенные корневые центры сертификации". | Это делается следующим образом (на примере Windows 7): дважды кликните на сертификат. Нажмите кнопку "Установить сертификат". Откроется мастер импорта сертификата. Когда мастер спросит выбор места хранения сертификата, выберите "поместить все сертификаты в следующее хранилище", нажмите кнопку "Обзор" и выберите "доверенные корневые центры сертификации". | ||
Таким образом, сертификат будет импортирован в глобальное хранилище системы. Он будет работать для тех браузеров, которые используют системные хранилища сертификатов, например, Internet Explorer, Chrome, Yandex. Если же браузер использует собственное хранилище, как, к примеру, Firefox, то импорт необходимо произвести непосредственно в настройках браузера. Это делается следующим образом (для Mozilla Firefox): | Таким образом, сертификат будет импортирован в глобальное хранилище системы. Он будет работать для тех браузеров, которые используют системные хранилища сертификатов, например, Internet Explorer, Chrome, Yandex. Если же браузер использует собственное хранилище, как, к примеру, Firefox, то импорт необходимо произвести непосредственно в настройках браузера. Это делается следующим образом (для Mozilla Firefox): | ||
- | |||
- | {{ics6-https-6.jpg}} | ||
Зайдите в настройки браузера, перейдите в Дополнительные - Сертификаты - Просмотр сертификатов - WЦентры сертификации - Импортировать и укажите скачанный с ИКС сертификат. | Зайдите в настройки браузера, перейдите в Дополнительные - Сертификаты - Просмотр сертификатов - WЦентры сертификации - Импортировать и укажите скачанный с ИКС сертификат. | ||
- | |||
- | {{ics6-https-7.jpg}} {{ics6-https-8.jpg}}{{ics6-https-9.jpg}} | ||
Отметьте все флажки и импортируйте сертификат. | Отметьте все флажки и импортируйте сертификат. | ||
Строка 45: | Строка 31: | ||
**Фильтровать без подмены сертификата**. В этом режиме установка сертификата в систему конечного пользователя не требуется. Однако, в данном режиме работы ИКС будет знать только о домене назначения запроса, а не о полном URL. | **Фильтровать без подмены сертификата**. В этом режиме установка сертификата в систему конечного пользователя не требуется. Однако, в данном режиме работы ИКС будет знать только о домене назначения запроса, а не о полном URL. | ||
- | Например, если вы хотите заблокировать весь домен yandex.ru, то для этого достаточно настроить фильтрацию в режиме работы без подмены сертификата. Если же вы хотите заблокировать домен yandex.ru, но при этом разрешить адрес yandex.ru/video, то вам потребуется настроить полную подмену сертификата для расшифровки URL назначения. | + | Например, если вы хотите заблокировать весь домен yandex.ru, то для этого достаточно настроить фильтрацию в режиме работы без подмены сертификата. Если же вы хотите заблокировать домен yandex.ru, но при этом разрешить адрес yandex.ru/video, то вам потребуется настроить полную подмену сертификата для расшифровки URL назначения. |
Также, в данном режиме работы есть возможность настроить отдельные домены либо же отдельных пользователей на полную расшифровку в поле "Фильтровать с расшифровкой". В этом случае импортировать сертификат нужно либо для тех пользователей, которые указаны в поле, либо для всех пользователей, которые будут обращаться к прописанному доменному имени (например vk.com). | Также, в данном режиме работы есть возможность настроить отдельные домены либо же отдельных пользователей на полную расшифровку в поле "Фильтровать с расшифровкой". В этом случае импортировать сертификат нужно либо для тех пользователей, которые указаны в поле, либо для всех пользователей, которые будут обращаться к прописанному доменному имени (например vk.com). | ||
+ | |||
+ |