При включенном режиме Весь трафик (шифрованный и нешифрованный) или Только шифрованный агент использует технологию подмены сертификатов SSL для обеспечения перехвата данных, переданных в защищенных web-сессиях. При установлении защищенного соединения с каким-либо сервером агент заменяет оригинальный сертификат сервера на сертификат с аналогичным именем, но выпущенный корневым сертификатом агента. Система позволяет использовать в качестве корневого как предустановленный, так и созданный вручную пользователем сертификат с полномочиями подписи.

Система позволяет вручную устанавливать определенные сертификаты для подмены при перехвате сессий соответствующих серверов (сайтов, программ) путем привязки сертификата к серверу.

В некоторых случаях использование неоригинального сертификата может привести к невозможности установки шифрованного соединения с сервером. В этом случае необходимо исключить соответствующие сервера из перехвата, т.е. запретить подмену SSL-сертификатов при соединении с такими серверами. Это восстановит работоспособность таких сайтов или программ, однако перехват шифрованного трафика для них осуществляться не будет.

Для настройки перехвата SSL-трафика:

1. Перейдите на вкладку Контроль сетевого трафика.
2. Нажмите кнопку Параметры перехвата SSL и следуйте рекомендациям текущего параграфа.

Выбор режима подмены SSL-сертификата

В окне настроек выберите приемлемый режим перехвата:

• Для автоматической генерации агентом корневого SSL-сертификата при установке на компьютер пользователя, выберите опцию Автоматический режим. Созданный корневой сертификат будет помещен в базу доверенных создателей сертификатов и автоматически использоваться агентом для последующей выдачи дочерних сертификатов, подписанных по умолчанию именем издателя Falcongaze SecureTower.

Для смены имени издателя сертификата, которое будет указано в сведениях о безопасности соединения, задайте нужное имя в поле Имя в SSL- сертификате.

• Для использования пользовательского SSL-сертификата в качестве корневого при перехвате шифрованного трафика, выберите опцию Пользовательский режим. Пользовательский сертификат должен быть предварительно сгенерирован и добавлен в базу системы. Для указания сертификата из базы системы выберите его имя в раскрывающемся списке Пользовательский сертификат либо нажмите кнопку Пользовательские сертификаты для добавления файлов сертификата и закрытого ключа в базу системы.

В открывшемся окне нажмите кнопку Добавить сертификат и укажите файлы сертификата и ключа одним из предложенных ниже способов:

1. Укажите путь к существующим файлам сертификата и закрытого ключа в полях окна Добавление пользовательских сертификатов, используя кнопку обзора.

2. Для генерации нового сертификата нажмите кнопку Сгенерировать сертификат. Введите в открывшемся окне имя нового сертификата, время его действия и укажите пути, по которым будут храниться вновь созданные файлы сертификата(*.cer) и закрытого ключа(*.pvk). Нажмите кнопку Сгенерировать.

3. Если требуется добавить сертификат, ранее сгенерированный в формате PFX, нажмите кнопку Конвертировать из сертификата в формате PFX. Укажите путь и пароль к файлу сертификата в формате PFX, а также путь к файлам сертификата(*.cer) и закрытого ключа(*.pvk), в которые требуется конвертировать исходный файл. Нажмите кнопку Конвертировать для завершения конвертации.

Нажмите Далее в окне Добавление пользовательских сертификатов для продолжения процедуры добавления. В открывшемся окне введите уникальное имя, которым будет подписан добавляемый сертификат, и комментарий (при необходимости).

Нажмите Готово для завершения процесса. Сертификат будет добавлен в базу пользовательских сертификатов системы SecureTower. Нажмите OK для завершения добавления. Добавленный пользовательский сертификат будет автоматически помещен агентом в базу доверенных создателей (если этого не было сделано администратором сети предварительно) и далее будет использован для выдачи дочерних сертификатов.

Привязка SSL-сертификата к серверу

Для определения соответствия "сервер-сертификат" нажмите кнопку Привязки сертификатов и следуйте рекомендациям, приведенным далее:

• Для привязки к определенному серверу корневого сертификата на вкладке Корневые сертификаты, нажмите кнопку Добавить сертификат для сайта. Введите имя хоста (доменное имя), на которое будут выданы дочерние сертификаты и к которому будет привязан корневой сертификат, в поле Имя хоста (IP-адрес). Выберите один из предустановленных корневых сертификатов в раскрывающемся списке поля Корневой сертификат либо нажмите кнопку Пользовательские сертификаты для добавления и указания файлов сертификата и закрытого ключа на компьютере пользователя.
• Для привязки к определенному серверу уже имеющегося сертификата, выберите вкладку Пользовательские сертификаты. Агент не будет генерировать для указанных в данной вкладке серверов новые дочерние сертификаты, а будет использовать для процедур подмены сертификаты, заданные пользователем. В открывшемся окне в поле Имя хоста (IP-адрес) введите имя хоста (доменное имя), к которому будет привязан сертификат. Выберите один из сертификатов в раскрывающемся списке поля Сертификат (если сертификаты уже добавлялись ранее): нажмите кнопку Пользовательские сертификаты для выбора пользовательских сертификатов из списка или добавления и указания файлов сертификата и закрытого ключа на компьютере пользователя.

Исключение серверов из перехвата шифрованного трафика

Для работы с исключениями из процесса подмены сертификатов, нажмите кнопку Исключения SSL - серверов.

В окне менеджера исключений отображен перечень серверов (хостов), исключенных из процесса подмены по умолчанию. Для добавления нового исключения нажмите кнопку Добавить исключение.

В поле ввода открывшегося диалогового окна введите имя сервера (хоста) (например, accounts.google.com) с учетом регистра и нажмите кнопку Добавить. Система позволяет использовать введение имен по маске (разрешены символы ? и *, например, использование *.microsoft.* позволит избежать дублирования ресурсов Microsoft в списке исключений) для исключения ресурсов одного семейства. Введенное имя появится в списке исключений.

Далее необходимо выбрать режим исключения: Подменять сертификаты только для SSL серверов, указанных выше, или Подменять SSL - сертификаты у всех серверов, за исключением указанных выше. В первом случае система будет подменять сертификаты только для серверов, перечисленных в списке исключений (и, следовательно, сможет перехватывать соответствующий трафик). Для всех других сертификаты подменяться не будут, и перехват соответствующего шифрованного трафика будет невозможен. Во втором случае система будет подменять сертификаты для всех серверов, кроме указанных в списке исключений.

Для совершения прочих операций с исключениями следуйте соответствующим рекомендациям параграфа Управление списком исключений.