Cisco Cisco ScanSafe Web Security

•

•

•

•

•

Quando um usuário se conecta a um site por HTTPS, a sessão é criptografada com um certificado digital.
Quando a inspeção de tráfego seguro é disponibilizada, o Cisco Cloud Web Security bloqueia todos os
certificados expirados, inválidos e revogados.

A inspeção de tráfego seguro descriptografa e verifica o tráfego HTTPS que passa pelo Cisco Cloud Web
Security em busca de ameaças e executa ações com base nas configurações de política. Se o tráfego for
considerado seguro ele é criptografado novamente e retransmitido à sua empresa com um novo certificado
SSL.

Todos os usuários devem ter um certificado SSL implantado no navegador. Você pode gerar um certificado
no Cisco ScanCenter usando a Cisco como a CA (Certificate Authority, autoridade de certificado) ou pode
fazer download de uma CSR (Certificate Signing Request, solicitação de assinatura de certificado) e usá-la
com uma ferramenta, como o Serviços de certificados Microsoft ou OpenSSL, para gerar e carregar o seu
próprio certificado onde sua empresa é a CA. O certificado é associado à sua política de inspeção de tráfego
seguro.

Ao usar uma CSR, os seguintes campos devem estar presentes no certificado:

X509v3 Basic Constraints:

CA:TRUE

Com o OpenSSL, o comando openssl x509 -extfile v3_ca.txt -req -days 365 -in scancenter.csr -CA ca.crt
-CAkey ca.key -set_serial 01 -out scancenter.crt executará essa função, onde v3_ca.txt contém o seguinte:

subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints = CA:true

Duas alterações são necessárias no cliente: