Come fa un firewall che esegue un'ispezione HTTPS a verificare il certificato del server?

Ho una domanda sull'ispezione HTTPS. Come per sito Web di Checkpoint :

In outbound HTTPS inspection, when a client in the organization initiates an HTTPS connection to a secure site, the Security Gateway:

1. Intercepts the request.
2. Establishes a secure connection to the requested web site and validates the site server certificate.
3. Creates a new SSL certificate for the communication between the Security Gateway and the client, sends the client the new certificate and continues the SSL negotiation with it.
4. Using the two SSL connections:
   1. It decrypts the encrypted data from the client.
   2. Inspects the clear text content for all blades set in the Policy.

      > 3. Encrypts the data again to keep client privacy as the data travels to the destination web server resource.

HI desidera abilitare l'insinuazione HTTPS in FW fortigate ma non ho ricevuto abbastanza informazioni nel loro sito Web per cui sto verificando le stesse nel sito Web di Checkpoint. Ma alla fine ho avuto più dubbi.

1. In che modo FW convalida il certificato del server?

2. Per verificare che il Certificato FW shd abbia certificati di Root attendibili, se non sta verificando, non è possibile abilitare l'ispezione HTTPS poiché non siamo in grado di autenticare il Server stesso.

3. Per crittografare il firewall dei dati dovrebbe generare la chiave di sessione, FW crittografa la chiave di sessione utilizzando la chiave pubblica del server e invia al server. Questa chiave è utilizzata per la crittografia e la decrittografia dei dati.

4. Anche il PC client dovrebbe generare la chiave di sessione per la crittografia e la decrittografia, il client genera la stessa chiave generata dal firewall? Due tunnnels stabiliranno una volta che l'ispezione è abilitata, quali chiavi stanno usando per criptare / decodificare i dati in System end e Firewall End ...