Cisco Cisco Firepower Management Center 4000 User Guide

3-37

FireSIGHT 系统用户指南 

第 3 章      管理可重用对象 

  使用 PKI 对象    

不能删除正在使用的可分辨名称对象。此外，编辑用于 SSL 策略的可分辨名称对象后，必须重新
应用相关的访问控制策略，更改才会生效。

要添加可分辨名称对象，请执行以下操作：

访问：管理员/访问管理员/网络管理员

步骤 1

选择 

。

系统将显示 Object Management 页面。

步骤 2

在 

 下，选择 

。

步骤 3

点击 

。

系统将显示 Distinguished Name 弹出窗口。

步骤 4

在 

 字段中为可分辨名称对象键入名称。可以使用除管道 (

|

) 或大括号 (

{}

) 之外的任何可打印

标准 ASCII 字符。

步骤 5

在 

 字段中，键入可分辨名称或公用名称的值。您有以下选项：

如果添加可分辨名称，则可包括

 中列出的每个属性（以逗号隔开）。

如果添加公用名，则可包括多个标签和通配符。

步骤 6

点击 

。

可分辨名称对象添加成功。

使用 PKI 对象

许可证：任何环境

受支持的设备：3 系列

PKI 对象代表支持 SSL 检查部署所需的公共密钥证书和配对私有密钥。内部和可信 CA 对象包括
证书颁发机构 (CA) 证书；内部 CA 对象还包括与证书配对的私有密钥。内部和外部证书对象包括
服务器证书；内部证书对象还包括与证书配对的私有密钥。在 SSL 规则中使用这些对象可以解密
以下各项：

传出流量（通过对带有内部 CA 对象的服务器证书进行重签）

传入流量（使用内部证书对象中的已知私有密钥）

还可以创建 SSL 规则并匹配使用以下证书加密的流量：

外部证书对象中的证书

由可信 CA 对象中的 CA 签名的证书或在 CA 的信任链中的证书

CN=”*.com”

example.com

ampleexam.com

mail.example.com

example.text.com

CN=”*.*.com”

mail.example.com

example.text.com

example.com

ampleexam.com

表 

公用名属性通配符示例

属性

匹配

不匹配