我在 WatchGuard 防火墙后面有一个 Ubuntu 16.04 工作站,正在执行深度数据包检测。如何将 DPI 根证书添加到工作站,以免不断被告知所有证书无效?
答案1
从防火墙的证书门户网站下载证书。您可以在以下地址找到它。将firewall.ip.addr.ess替换为您的防火墙IP。
http://firewall.ip.addr.ess:4126/certportal
如果你不知道防火墙的 IP,那么很有可能它是你的默认网关。使用此命令查找你的默认网关。
netstat -nr |egrep ^0.0.0.0|awk '{print $2}'
在您的本地根证书存储区中创建一个目录以放置您的证书,然后移动文件以确保证书扩展名更改为 *.crt。
sudo mkdir /usr/local/share/ca-certificates/wg-dpi/
sudo cp ~/Downloads/ProxyCA.cer /usr/local/share/ca-certificate/wg-dpi/watchguard-dpi.crt
更新您的证书颁发机构存储。命令输出应确认添加一个证书。
sudo update-ca-certificates
您应该在输出的末尾看到类似的内容。
Certificate added: O=WatchGuard_Technologies, OU=Fireware, CN=Fireware HTTPS Proxy (SN 80DA00F0B0000 2016-19-77 22:46:25 UTC) CA
1 new root certificates were added to your trust store.
如果你使用 Chrome 网络浏览器
- 在 Chrome 中,输入网址:chrome://settings/advanced
- 选择“管理证书”按钮
- 点击“权限”标签
- 点击“导入”按钮
- 输入“/usr/local/share/ca-certificate/wg-dpi/watchguard-dpi.crt”
- 选择“打开”
- 选择“完成”
- 重启 Chrome