การตั้งค่า SSL Certificate Distribution บน IAG – บริษัท ซังฟอร์ เทคโนโลยี (ประเทศไทย) จำกัด

ภาพรวมของ SSL Certificate Distribution

SSL Certificate Distribution เป็นฟีเจอร์บน Sangfor IAG ที่ใช้สำหรับแจกจ่าย Root SSL Certificate ไปยัง Endpoint Device ภายในเครือข่าย เพื่อให้ IAG สามารถทำ SSL Decryption ได้โดยไม่ทำให้เกิด Certificate Warning บน Browser ของผู้ใช้ ฟีเจอร์นี้อยู่ภายใต้เมนู Online Activities > Advanced > SSL Certificate Distribution

ความสำคัญของ SSL Certificate

เมื่อเปิดใช้งาน SSL Contents (SSL Decryption) บน IAG ระบบจะตรวจสอบเนื้อหาของ HTTPS Traffic โดย Browser ของ Endpoint จะแจ้งเตือนว่า Certificate ของเว็บไซต์ HTTPS ไม่สามารถตรวจสอบได้ การแจ้งเตือนนี้จะหายไปเมื่อ Import Root Certificate เข้าไปใน Endpoint Computer แล้ว

ประเภทของ Root Certificate

1. Built-in Root Certificate

เป็น Certificate ที่ IAG สร้างมาให้โดยอัตโนมัติ สามารถตรวจสอบได้โดยไปที่ Online Activities > Advanced > SSL Certificate แล้วเลือก Built-in root certificate จากนั้นคลิก Download Root SSL Certificate เพื่อดาวน์โหลด Certificate ไปติดตั้งบน Endpoint

2. Specified Root Certificate

สำหรับองค์กรที่ต้องการใช้ Certificate ของตัวเอง สามารถตั้งค่าได้ดังนี้:

Step 1: ไปที่ Online Activities > Advanced > SSL Certificate แล้วเลือก Specified root certificate

Step 2: คลิกปุ่ม Settings จะแสดงหน้าต่าง Root Certificate ขึ้นมา โดยมี 3 ตัวเลือก:

Generate a New Root Certificate - สร้าง Certificate ใหม่โดยกรอกข้อมูล Country, State, City, Company, Department, Issued To, E-mail, Key Size (1024/2048), Encoding (UTF-8), Encryption Algorithm (SHA1/SHA256) และ Period (วัน)
Import Root Certificate with Private Key - Import Certificate ที่มี Private Key อยู่ในไฟล์เดียวกัน
Import Root Certificate and Private Key - Import Certificate File และ Private Key File แยกกัน พร้อมกรอก Password

Step 3: คลิก Commit เพื่อบันทึก จากนั้นระบบจะแสดงข้อความ Root certificate has been specified

Step 4: คลิก Commit อีกครั้งในหน้า SSL Certificate เพื่อยืนยันการเปลี่ยนแปลง ระบบจะแสดงหน้าต่าง Confirm ให้คลิก Yes

วิธีการ Distribute Certificate ไปยัง Endpoint

วิธีที่ 1: ผ่าน AD Domain

หากองค์กรใช้ Active Directory สามารถ Push Certificate ไปยัง PC ทุกเครื่องใน Domain ได้โดยตรงผ่าน Group Policy ซึ่งเป็นวิธีที่สะดวกและมีประสิทธิภาพที่สุด

วิธีที่ 2: ผ่าน SSL Certificate Distribution บน IAG

สำหรับสภาพแวดล้อมที่ไม่มี Domain Controller สามารถใช้ฟีเจอร์นี้บน IAG ได้โดย:

Step 1: ไปที่ Online Activities > Advanced > SSL Certificate Distribution

Step 2: ทำเครื่องหมายที่ Redirection for certificate distribution เพื่อเปิดใช้งาน

Step 3: ตั้งค่าพารามิเตอร์ต่อไปนี้:

IP/MAC Address - ระบุ IP หรือ MAC Address ที่ต้องการ Distribute Certificate
Excluded Addresses - ระบุ IP Address ที่ต้องการยกเว้น เช่น Server หรืออุปกรณ์ที่ไม่ต้องการติดตั้ง Certificate
Applicable Domain Names - ระบุ Domain Name ที่ใช้ในการ Redirect เช่น amazon.com, bing.com, windows.com, google.com เป็นต้น

Step 4: ตั้งค่า Other Options ตามต้องการ:

Redirect HTTP requests (on port 80, not using proxy) to certificate download page - Redirect HTTP Request ไปหน้าดาวน์โหลด Certificate
Root SSL Certificate Distribution via AD Domain - Distribute Certificate ผ่าน AD Domain

Step 5: คลิก Commit เพื่อบันทึกการตั้งค่า

กลไกการตรวจสอบ Certificate บน Endpoint

ระบบ IAG ตรวจสอบว่า Endpoint ติดตั้ง Root Certificate แล้วหรือยังด้วยกลไกดังนี้:

ตรวจสอบว่า Endpoint มี Marker ที่ระบุว่าต้อง Inspect Certificate หรือไม่ และผ่านการตรวจสอบแล้วหรือยัง
หาก Certificate ต้องการ Inspection แต่ยังไม่ผ่าน ระบบจะ Redirect ไปยัง URL สำหรับตรวจสอบ Certificate โดยใช้ checkcert.js เพื่อตรวจสอบว่าติดตั้ง Certificate แล้วหรือไม่
หากผ่านการตรวจสอบ ระบบจะ Redirect กลับไปยังหน้าเว็บเดิมที่ผู้ใช้ต้องการเข้าถึง
หากไม่ผ่านการตรวจสอบ ระบบจะ Redirect ไปยังหน้าดาวน์โหลด Root Certificate
เมื่อมีการเปลี่ยน Root Certificate ระบบจะเปรียบเทียบ MD5 ของ Certificate ใหม่กับ Certificate เดิมบน Endpoint หากไม่ตรงกันจะทำการ Distribute Certificate ใหม่
สุดท้ายผู้ใช้สามารถติดตั้ง Certificate ด้วยตนเองได้ โดยดาวน์โหลด Installation Package บน PC แล้ว Double-click เพื่อติดตั้ง

ข้อแนะนำ

หากองค์กรมี AD Domain แนะนำให้ใช้วิธี Push Certificate ผ่าน Group Policy เพื่อความสะดวกในการจัดการ
สำหรับ Certificate ที่สร้างใหม่ แนะนำให้ใช้ Key Size 2048-bit และ SHA256 Algorithm เพื่อความปลอดภัยที่สูงขึ้น
ควรกำหนด Excluded Addresses สำหรับ Server และอุปกรณ์ที่ไม่จำเป็นต้องติดตั้ง Certificate