Best way to avoid certificate error?

If I recall correctly, if you are using AD SSO and you access an HTTPS site first, the following occurs:

- The system cannot perform AD SSO for HTTPS
- The system will use the "last known user" for that IP during policy selection
- The first time that the user goes to an HTTP site it will authenticate

- If there is no "last known user" (eg no user has authenticate ever from this IP) then it uses first policy that applies to all users.  The cache of last known users is I think reset on proxy restart.

Thanks Michael,

Is that the same for standard proxy as well?

Also can I enable full ssl scanning on both standard and transparent without doing anything else?

Standard proxy can authenticate HTTPS requests without any problems, so it behaves differently.

You can enable full SSL scanning without doing anything else.  Clients will complain about certificate errors unless you push the Certificate Authority as well.



I know that its a complex system and not everything works as smoothly as we would like.  The reasons are twofold:

1) HTTPS is all about creating a secure connection between a client and a website.  If a proxy wants to spy/block/scan that connection we are inherently breaking the user's belief that the connection is secure.  We cannot do that without the browser warning the user.

2) In transparent mode the browser thinks it is connecting to the destination website with no proxy in between.  This limits what the proxy can do with authentication because the browser does not except to have to do authentication.

So I reckon the best way to use ad sso without any problems would be to use standard then. When i tried to use ad sso with transparent sometimes the user account wasn't logged. In standard do i still need to add the utm in the intranet zone or the proxy port is enough? 

Any fix for laptops that come to the main pffice and back to their branches? Something that would deactivate the proxy when logging in another region?

I can deal with wireless on ios and android fine as i can push proxy settings via meraki.

Standard is the preferred way to go.  Everything works better when the browser knows there is a proxy.

You can use the Auto-configuration option to do WPAD/PAC to any browser that is set to "automatically detect settings".  This handles laptops coming in and out of the office, while in the office it automatically configures to use the proxy and when they leave the laptop reverts to direct connection (or to the autoconfigured proxy in your other office).  This is under Filtering Options, Misc.

You can also do both Standard and Transparent.  Any time that you enable Transparent in a Profile you automatically get Standard as well, which is good if you want to use the same settings for both.  If you want different settings you can do two profiles, make sure the Standard profile is higher priority.


If you use sso with transparent there will be times the user account is not logged - especially during testing where the system has not a full cache of users.  However typically in an office after its been running a day a blank user should be infrequent - only with new IPs being used (meaning a new device brought in).  During testing you typically are restarting the proxy a lot, using a bunch of machines for the first time, and therefore will more frequently have an empty cache and a blank username.

Thanks!  Do i still need to deploy the certificate the proxy certificate in standard and add utm in intranet sites?

You need to deploy the certificate if you are doing HTTPS scanning for both Transparent and Standard.

You need to add the utm to the intranet zone for Transparent if you are doing AD SSO.  You do not need to for Standard.

Michael, you and I were both wrong about the SAN - it's 127.0.0.1 in several sites that have been working for years that I just examined.

Yes, Alexx, that's the Proxy CA is what you want to distribute.

Cheers - Bob

My guess is, that the UTM uses this certificate also internally - that's why localhost is there?

Best regards,
SA