Publicité
40.4.2 Configuration globale du protocole SSL
Onglet Proxy
Génération des certificats pour émuler le serveur SSL
C.A (signe les
certificats)
Mot de passe de
l'autorité
Durée de vie du
certificat (jours)
SSL : liste des ports TCP par défaut
Cette option est proposée pour la liste des ports TCP par défaut. Les ports par défaut des
protocoles ajoutés seront analysés par le plugin SSL.
Proxy
Cette option s'applique à l'ensemble des profils d'inspection. Cette option n'est pas appliquée
pour la translation sur la destination.
Appliquer la règle de
NAT sur le trafic
analysé
Onglet Autorités de certification personnalisées
Ajouter la liste de C.A
personnalisée aux
autorités de
confiance
Il est possible d'Ajouter ou de Supprimer des autorités de certifications en cliquant sur les
boutons du même nom.
Onglet Autorités de certification publiques
Il est possible de désactiver une autorité de certification publique par double-clic sur l'icône
d'état, par défaut activée. Vous pouvez également choisir de Tout activer ou de Tout désactiver
ces C.A. publiques en cliquant sur les boutons du même nom.
Afin d'améliorer le contrôle, ces autorités de certification racines de confiance sont maintenues
à jour dans la liste du firewall via Active-Update.
Onglet Certificats de confiance
Il s'agit d'une liste blanche de certificats pour lesquels les traitements d'inspection de contenu
(certificats auto-signés, certificats expirés, etc.), définis dans l'onglet Proxy de la configuration
des profils SSL, ne seront pas appliqués.
Cette fenêtre permet d'Ajouter ou de Supprimer des certificats de confiance en cliquant sur les
boutons du même nom.
Page 287/524
Choisissez la Sous-autorité utilisée pour signer les certificats générés par le proxy
SSL. Vous devez l'avoir importée au préalable dans le module Certificat (menu Objet ).
Renseignez le mot de passe de l'autorité de certification choisie.
Ce champ précise la Validité (jours) des certificats générés par le proxy.
Par défaut, le trafic analysé par un proxy implicite obtient en sortie, l'adresse de
l'interface de sortie du Firewall.
Dans le cas d'une politique de NAT et en cochant cette option, la translation
d'adresse est appliquée sur ce trafic sortant de l'analyse du proxy. Cette option n'est
pas appliquée pour une translation sur la destination.
Cette option permet d'activer la fonctionnalité d'import d'autorités de certifications
non publiques. Ces C.A. seront considérées comme autorité de confiance. Les
certificats délivrés par ces C.A. personnalisées seront donc considérés comme digne
de confiance.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
40. PROTOCOLES
Publicité
