防火墙如何进行HTTPS检查，验证服务器证书？

Question

我有个关于HTTPS检查的问题。根据检查站网站：

在出站HTTPS检查中，当组织中的客户端启动到安全站点的HTTPS连接时，安全网关：

1. 拦截请求。
2. 建立到请求网站的安全连接，并验证站点服务器证书。
3. 为安全网关与客户端之间的通信创建一个新的SSL证书，向客户端发送新证书并继续与其进行SSL协商。
4. 使用两个SSL连接：
   1. 它解密来自客户端的加密数据。
   2. 检查策略中设置的所有刀片的明文内容。> 3.在数据传输到目标web服务器资源时，再次加密数据以保持客户端的隐私。

嗨，想要启用HTTPS在加强FW，但我没有在他们的网站上获得足够的信息，所以我正在检查检查点的网站同样。但最终我有了更多的怀疑

1. FW如何验证服务器的证书？
2. 要验证证书FW shd是否有受信任的根证书，如果它不验证，则不使用enableing检查，因为我们无法验证服务器本身。
3. 为了加密数据防火墙应该生成会话密钥，FW使用服务器的公钥对会话密钥进行加密并发送给服务器。此密钥用于数据的加密和解密。
4. 客户端PC还应该生成会话密钥进行加密和解密，客户端是否生成与防火墙生成的密钥相同的密钥？一旦启用检查，将建立两个隧道，用于加密/解密系统端和防火墙端的数据的密钥.

Answer 1

..。因为防火墙没有可信的根证书。

防火墙确实有一组受信任的根证书。它们不一定与浏览器中的客户端完全相同，但通常使用的CA会出现重叠。甚至可能是故意让防火墙比浏览器更少地信任CA。