Activer le déchiffrement SSL

Pour que la gestion des pages HTTPS soit opérationnelle, réalisez les opérations suivantes :

  1. À la page Proxy Cache QoS > HTTP > Options globales SSL, entrez le certificat d'autorité qui servira à générer les certificats lors du chiffrement de la réponse (fichiers .crt et .key/.pem).
  2. Une fois le certificat défini, à la page Proxy Cache QoS > HTTP > Configuration :
    • Cochez la case Option SSL pour le ou les ports d'écoute désirés. Vous pouvez choisir de ne pas activer le déchiffrement sur certains ports, par exemple pour des ports ne recevant que des mises à jour provenant d'URLs de confiance.
    • Dans la section Types de requêtes autorisées par port de destination, assurez-vous que la case Navigation est cochée pour le port 443.
    • Pour les intégrations proxy en interception, les flux HTTP et HTTPS doivent arriver sur des ports différents.
  3. Paramétrez le comportement de l'option. Définissez :
    • Quels flux ne doivent pas être déchiffrés : voir Gérer le déchiffrement et les erreurs > Règles de déchiffrement.
    • Le niveau de sécurité accepté des serveurs distants : voir Gérer le niveau de sécurité lors des échanges SSL > Personnaliser les options SSL.
    • Le niveau de sécurité utilisé pour l’établissement des sessions TLS avec les serveurs distants : voir Gérer le niveau de sécurité lors des échanges SSL > Options avancées.
    • Comment gérer les erreurs SSL liées aux certificats des serveurs distants : certificats expirés, invalides... Voir Gérer le déchiffrement et les erreurs > Règles de gestion des erreurs SSL.
  4. Déployez votre certificat d'autorité sur les postes clients (par exemple, par GPO, ou en liant le certificat à la charte internet).

Vérifier que le déchiffrement fonctionne

Pour vérifier que le déchiffrement fonctionne correctement, vérifiez le certificat d'une page HTTPS filtrée par votre Olfeo. Celui-ci doit afficher les informations issues de votre certificat d'autorité.



Pour les intégrations en mode proxy explicite, dans le trafic temps réel, les flux déchiffrés montrent l'URL complète de la ressource (URL commençant par https://).