- Если для большинства пользователей организации требуется фильтрация с подменой сертификата, выберите режим «Расшифровывать трафик с подменой сертификата» и добавьте исключения в поле «Не фильтровать HTTPS для» — введенные IP-адреса будут фильтроваться без подмены сертификата.
- Если для большинства пользователей организации требуется фильтрация без подмены сертификата, выберите режим «Фильтровать без подмены сертификата» и добавьте исключения в поле «Расшифровывать трафик с подменой сертификата для» — введенные IP-адреса будут фильтроваться с подменой сертификата.
Расшифровывать трафик с подменой сертификата
В данном режиме весь проходящий трафик будет расшифровываться при помощи подмены сертификата. Подмена сертификата позволит прокси-серверу работать с полными URL-адресами страниц, к которым обращается пользователь, и полным содержимым этих страниц.
Этот режим следует выбрать, например, если вы планируете использовать контент-фильтр (фильтрацию по словам на странице). Тогда прокси-сервер ИКС сможет обрабатывать слова на страницах сайтов и сравнивать их с запрещенными.
После этого правила фильтрации начнут работать, однако в связи с подменой сертификата при запросе браузер пользователя будет сообщать о некорректном сертификате. Это ожидаемое поведение браузера, так как для подмены сертификата используется самоподписной сертификат, созданный при настройке HTTPS-фильтрации (пункт 2). Чтобы исключить данное предупреждение, выполните следующие действия:
- В модуле «Сертификаты» экспортируйте данный сертификат на устройство конечного пользователя. Экспорт ключа сертификата не требуется.
- На каждом клиентском компьютере добавьте сертификат в доверенные корневые центры сертификации. Рассмотрим, как это сделать, на примере Windows:1) дважды нажмите левой кнопкой мыши на сертификат;2) нажмите кнопку «Установить сертификат…» — откроется мастер импорта сертификата;3) в качестве места хранения сертификата выберите «Поместить все сертификаты в следующее хранилище», нажмите кнопку «Обзор…» и выберите «Доверенные корневые центры сертификации». Сертификат будет импортирован в глобальное хранилище системы и будет работать для тех браузеров, которые используют системные хранилища сертификатов (например, Internet Explorer, Chrome, Yandex).Если браузер использует собственное хранилище (например, Firefox), то импорт сертификата необходимо произвести непосредственно в настройках данного браузера. Рассмотрим, как это сделать, на примере Mozilla Firefox:1) откройте настройки браузера и перейдите в Дополнительные > Сертификаты > Просмотр сертификатов > Центры сертификации > Импортировать;2) нажмите «Импортировать…» и выберите сертификат, скачанный с ИКС;3) установите флаги «Доверять при идентификации веб-сайтов» и «Доверять при идентификации пользователей электронной почты»;4) нажмите «Ок».
- Заполните поле «Не фильтровать HTTPS для», если требуется исключить определенных пользователей или отдельные домены. Соединения пользователей (доменов), указанных в этом поле, не будут расшифровываться и, соответственно, импортировать сертификат для них нет необходимости. Добавление доменов в исключения может потребоваться для корректной работы безопасных сервисов с проверкой MITM-атак, таких как почтовые или банковские сервисы.
Об авторе