Ich habe eine Ubuntu 16.04-Workstation hinter einer WatchGuard-Firewall, die Deep Packet Inspection durchführt. Wie füge ich das DPI-Stammzertifikat zur Workstation hinzu, damit ich nicht ständig die Meldung bekomme, dass alle Zertifikate ungültig sind?
Antwort1
Laden Sie das Zertifikat von der Zertifikatsportal-Website der Firewall herunter. Sie finden es unter der folgenden Adresse. Ersetzen Sie firewall.ip.addr.ess durch die IP Ihrer Firewall.
http://firewall.ip.addr.ess:4126/certportal
Wenn Sie die IP-Adresse Ihrer Firewall nicht kennen, handelt es sich wahrscheinlich um Ihr Standard-Gateway. Verwenden Sie diesen Befehl, um Ihr Standard-Gateway zu finden.
netstat -nr |egrep ^0.0.0.0|awk '{print $2}'
Erstellen Sie in Ihrem lokalen Stammzertifikatspeicher ein Verzeichnis, in das Sie Ihr Zertifikat einfügen, und verschieben Sie die Datei hinein. Achten Sie dabei darauf, dass die Zertifikatserweiterung in *.crt geändert wird.
sudo mkdir /usr/local/share/ca-certificates/wg-dpi/
sudo cp ~/Downloads/ProxyCA.cer /usr/local/share/ca-certificate/wg-dpi/watchguard-dpi.crt
Aktualisieren Sie Ihren Zertifizierungsstellenspeicher. Die Befehlsausgabe sollte das Hinzufügen eines Zertifikats bestätigen.
sudo update-ca-certificates
Am Ende der Ausgabe sollten Sie ungefähr Folgendes sehen.
Certificate added: O=WatchGuard_Technologies, OU=Fireware, CN=Fireware HTTPS Proxy (SN 80DA00F0B0000 2016-19-77 22:46:25 UTC) CA
1 new root certificates were added to your trust store.
Wenn Sie den Chrome-Webbrowser verwenden
- Geben Sie in Chrome die URL ein: chrome://settings/advanced
- Wählen Sie die Schaltfläche „Zertifikate verwalten“
- Klicken Sie auf die Registerkarte „Behörden“
- Klicken Sie auf die Schaltfläche „Importieren“
- Geben Sie „/usr/local/share/ca-certificate/wg-dpi/watchguard-dpi.crt“ ein.
- Wählen Sie „Öffnen“
- Wählen Sie „Fertig“
- Starten Sie Chrome neu