ics70:https
Различия
Здесь показаны различия между двумя версиями данной страницы.
| Следующая версия | Предыдущая версия | ||
|
ics70:https [2019/09/02 14:23] 127.0.0.1 внешнее изменение |
ics70:https [2020/01/27 16:28] (текущий) |
||
|---|---|---|---|
| Строка 1: | Строка 1: | ||
| - | =====Настройка HTTPS-фильтрации===== | + | ===== Настройка HTTPS-фильтрации ===== |
| Для того, чтобы получить возможность фильтровать HTTPS-трафик пользователей, необходимо сделать следующее: | Для того, чтобы получить возможность фильтровать HTTPS-трафик пользователей, необходимо сделать следующее: | ||
| - | 1. Добавить корневой сертификат (СА) со стандартными настройками в модуле [[сертификаты]]. | + | 1. Добавить корневой сертификат (СА) со стандартными настройками в модуле [[ics70:serts|сертификаты]]. |
| - | {{ics6-https-1.jpg}} | + | {{ ics70:https1.png?nolink&727x598 }} |
| - | Для того, чтобы сертификат работал длительное время и не было необходимости менять его на конечных пользователях, установите дату окончания сертификата более чем 1 год (по умолчанию). Остальные параметры сертификата оставьте по умолчанию. | + | Для того, чтобы сертификат работал длительное время и не было необходимости менять его на конечных пользователях, установите дату окончания сертификата более чем 1 год (по умолчанию). Остальные параметры сертификата оставьте по умолчанию. |
| - | {{ics6-https-2.jpg}} | + | {{ ics70:https2.png?nolink&583x531 }} |
| После нажатия кнопки "Добавить" система спросит, нужно ли шифрование ключа. Укажите "Не шифровать закрытый ключ". | После нажатия кнопки "Добавить" система спросит, нужно ли шифрование ключа. Укажите "Не шифровать закрытый ключ". | ||
| - | {{ics6-https-3.jpg}} | + | 2. Выбрать данный сертификат в поле "Сертификат для HTTPS-фильтрации" настроек модуля [[ics70:proxy|прокси]]. |
| - | 2. Выбрать данный сертификат в поле "Сертификат для HTTPS-фильтрации" модуля [[прокси]]. | + | {{ ics70:https3.png?nolink&725x346 }} |
| После этого необходимо выбрать один из двух режимов работы фильтрации: | После этого необходимо выбрать один из двух режимов работы фильтрации: | ||
| Строка 21: | Строка 21: | ||
| **Фильтровать весь HTTPS-трафик с расшифровкой**. В этом режиме весь проходящий трафик будет расшифровываться посредством подмены сертификата. После этого правила фильтрации начнут работать, однако в связи с подменой сертификата при запросе браузер пользователя будет сообщать о некорректном сертификате. Чтобы исключить данную ошибку, необходимо сделать следующее: | **Фильтровать весь HTTPS-трафик с расшифровкой**. В этом режиме весь проходящий трафик будет расшифровываться посредством подмены сертификата. После этого правила фильтрации начнут работать, однако в связи с подменой сертификата при запросе браузер пользователя будет сообщать о некорректном сертификате. Чтобы исключить данную ошибку, необходимо сделать следующее: | ||
| - | {{ics6-https-4.jpg}} | + | {{ ics70:https4.png?nolink&981x354 }} |
| - | В модуле [[сертификаты]] экспортировать данный сертификат на машину конечного пользователя. Экспорт ключа сертификата не требуется. | + | В модуле [[ics70:serts|сертификаты]] экспортировать данный сертификат на машину конечного пользователя. Экспорт ключа сертификата не требуется. |
| - | На каждом клиентском компьютере добавить сертификат в доверенные корневые центры сертификации. | + | На каждом клиентском компьютере добавить сертификат в доверенные корневые центры сертификации. Это делается следующим образом (на примере Windows 7): дважды кликните на сертификат. Нажмите кнопку "Установить сертификат". Откроется мастер импорта сертификата. Когда мастер спросит выбор места хранения сертификата, выберите "поместить все сертификаты в следующее хранилище", нажмите кнопку "Обзор" и выберите "доверенные корневые центры сертификации". |
| - | {{ics6-https-5.jpg}} | + | {{ ics70:https5.jpg?nolink&780x547 }} |
| - | + | ||
| - | Это делается следующим образом (на примере Windows 7): дважды кликните на сертификат. Нажмите кнопку "Установить сертификат". Откроется мастер импорта сертификата. Когда мастер спросит выбор места хранения сертификата, выберите "поместить все сертификаты в следующее хранилище", нажмите кнопку "Обзор" и выберите "доверенные корневые центры сертификации". | + | |
| Таким образом, сертификат будет импортирован в глобальное хранилище системы. Он будет работать для тех браузеров, которые используют системные хранилища сертификатов, например, Internet Explorer, Chrome, Yandex. Если же браузер использует собственное хранилище, как, к примеру, Firefox, то импорт необходимо произвести непосредственно в настройках браузера. Это делается следующим образом (для Mozilla Firefox): | Таким образом, сертификат будет импортирован в глобальное хранилище системы. Он будет работать для тех браузеров, которые используют системные хранилища сертификатов, например, Internet Explorer, Chrome, Yandex. Если же браузер использует собственное хранилище, как, к примеру, Firefox, то импорт необходимо произвести непосредственно в настройках браузера. Это делается следующим образом (для Mozilla Firefox): | ||
| - | {{ics6-https-6.jpg}} | + | {{ ics70:https6.jpg?nolink&900x552 }} |
| Зайдите в настройки браузера, перейдите в Дополнительные - Сертификаты - Просмотр сертификатов - WЦентры сертификации - Импортировать и укажите скачанный с ИКС сертификат. | Зайдите в настройки браузера, перейдите в Дополнительные - Сертификаты - Просмотр сертификатов - WЦентры сертификации - Импортировать и укажите скачанный с ИКС сертификат. | ||
| - | {{ics6-https-7.jpg}} {{ics6-https-8.jpg}}{{ics6-https-9.jpg}} | + | {{ ics70:https6.jpg?nolink&900x552 }}{{ ics70:https8.jpg?nolink&900x509 }}{{ ics70:https9.jpg?nolink&900x504 }} |
| Отметьте все флажки и импортируйте сертификат. | Отметьте все флажки и импортируйте сертификат. | ||
| Строка 45: | Строка 43: | ||
| **Фильтровать без подмены сертификата**. В этом режиме установка сертификата в систему конечного пользователя не требуется. Однако, в данном режиме работы ИКС будет знать только о домене назначения запроса, а не о полном URL. | **Фильтровать без подмены сертификата**. В этом режиме установка сертификата в систему конечного пользователя не требуется. Однако, в данном режиме работы ИКС будет знать только о домене назначения запроса, а не о полном URL. | ||
| - | Например, если вы хотите заблокировать весь домен yandex.ru, то для этого достаточно настроить фильтрацию в режиме работы без подмены сертификата. Если же вы хотите заблокировать домен yandex.ru, но при этом разрешить адрес yandex.ru/video, то вам потребуется настроить полную подмену сертификата для расшифровки URL назначения. | + | Например, если вы хотите заблокировать весь домен yandex.ru, то для этого достаточно настроить фильтрацию в режиме работы без подмены сертификата. Если же вы хотите заблокировать домен yandex.ru, но при этом разрешить адрес yandex.ru/video, то вам потребуется настроить полную подмену сертификата для расшифровки URL назначения. |
| Также, в данном режиме работы есть возможность настроить отдельные домены либо же отдельных пользователей на полную расшифровку в поле "Фильтровать с расшифровкой". В этом случае импортировать сертификат нужно либо для тех пользователей, которые указаны в поле, либо для всех пользователей, которые будут обращаться к прописанному доменному имени (например vk.com). | Также, в данном режиме работы есть возможность настроить отдельные домены либо же отдельных пользователей на полную расшифровку в поле "Фильтровать с расшифровкой". В этом случае импортировать сертификат нужно либо для тех пользователей, которые указаны в поле, либо для всех пользователей, которые будут обращаться к прописанному доменному имени (например vk.com). | ||
| + | |||
| + | |||
ics70/https.1567423412.txt.gz · Последние изменения: 2020/01/27 16:28 (внешнее изменение)
Инструменты страницы
