Cisco Cisco Firepower Management Center 4000 User Guide

22-17

FireSIGHT 系统用户指南 

第 22 章      使用 SSL 规则调整流量解密 

  根据加密属性控制流量  

按证书可分辨名称控制加密流量

许可证：任何环境

受支持的设备：3 系列

通过 SSL 规则中的可分辨名称，可以根据颁发服务器证书的 CA 或证书持有者来处理和检查加密
流量。根据颁发者可分辨名称，可以根据颁发站点服务器证书的 CA 处理流量。

当配置规则条件时，可以手动指定文本值，引用可分辨名称对象，或者引用包含多个对象的可分
辨名称组。

注

如果还选择 

 操作，则无法配置可分辨名称条件。由于该操作要求选择服务器证

书来解密流量，因此证书已经与流量相匹配。有关详情，请参见

可以在单个证书状态规则条件中根据多个主题和颁发者可分辨名称进行匹配，只需匹配一个公用
名或可分辨名称即可与规则相匹配。

如果手动添加可分辨名称，则其可以包含公用名属性 (

)。如果添加不带 

CN=

 的公用名，则系统

在保存对象之前会在该名称之前预置 

CN=

。

您还可以添加具有下表中列出的各属性之一的可分辨名称 （以逗号分隔）。

下图说明用于搜索向 goodbakery.example.com 颁发或由 goodca.example.com 颁发的证书的可分辨
名称规则条件。根据访问控制，允许通过这些证书加密的流量。

下图说明用于搜索向 badbakery.example.com 和关联域颁发的证书或由 badca.example.com 颁发的
证书的可分辨名称规则条件。通过这些证书加密的流量使用重新签名的证书进行解密。

表 

可分辨名称属性

属性

说明

允许的值

C

国家/地区代码 两个字母字符

CN

公用名

最多 64 个字母数字、反斜杠 (

)、连字符 (

)、引号 (

)、星号 (

)、句

点 (

) 或空格字符

O

组织

OU

组织单位