Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
22-19
FireSIGHT 系统用户指南 
 
 22       使用 SSL 规则调整流量解密 
  根据加密属性控制流量  
按证书控制加密流量 
许可证:任何环境
受支持的设备:3 系列
通过 SSL 规则中的证书条件,可以根据用于对加密流量进行加密的服务器证书来处理和检查该流
量。可以配置具有一个或多个证书的条件;如果证书与该条件的任何证书相匹配,则流量与规则
相匹配。
构建基于证书的 SSL 规则条件时,可以上传服务器证书;将证书另存为外部证书对象,该对象可重
用并会将名称与服务器证书相关联。或者,可以使用现有外部证书对象和对象组来配置证书条件。
可以根据以下证书可分辨名称特性在外部证书对象或对象组所基于的规则条件中搜索 
Available 
Certificates
 字段:
  •
主题或颁发者公用名 (CN)
  •
主题或颁发者组织 (O)
  •
主题或颁发者组织单位 (OU)
您可以选择根据单个证书规则条件中的多个证书进行匹配;如果用于加密流量的证书与上传的任
何证书相匹配,则加密流量与规则相匹配。
在单个证书条件中,可以向 
Selected Certificates
 添加最多 50 个外部证书对象和外部证书对象组。
请注意:
  •
如果还选择 
Decrypt - Known Key
 操作,则无法配置证书条件。由于该操作要求选择服务器证书
来解密流量,因此结果是证书已经与流量相匹配。有关详情,请参见
  •
如果使用外部证书对象配置证书条件,则添加到密码套件条件中的任何密码套件或与 
Decrypt - 
Resign
 操作相关联的内部 CA 对象必须与外部证书的签名算法类型相匹配。例如,如果规则的
证书条件引用基于 EC 的服务器证书,则添加的任何密码套件或与 
Decrypt - Resign
 操作相关联
的 CA 证书也必须基于 EC。如果在此情况下签名算法类型不匹配,则策略编辑器会在规则旁
边显示警告图标。有关详细信息,请参阅
要根据服务器证书检查加密流量,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在要根据服务器证书控制加密流量的 SSL 策略中,创建新的 SSL 规则或编辑现有规则。
有关详细说明,请参阅
步骤 2
在 SSL 规则编辑器中,选择 Certificate 选项卡。
系统将显示 Certificate 选项卡。
步骤 3
从 
Available Certificates
 中查找并选择要添加的服务器证书,如下所示:
  •
要即时添加可随后添加到条件中的外部证书对象,请点击 
Available Certificates
 列表上方的添加
图标  (
);请参阅
  •
要搜索将添加的证书对象和组,请点击 
Available Certificates
 列表上方的 
Search by name or value
 提
示,然后键入对象的名称或对象中的值。列表会在您键入内容时进行更新,以显示匹配对象。
要选择一个对象,请点击该对象。要选择多个对象,请使用 Shift 和 Ctrl 键,或者右键单击,然
后选择 
Select All