Cisco Cisco Firepower Management Center 2000 User Guide
3-38
FireSIGHT 系统用户指南
第 3 章 管理可重用对象
使用 PKI 对象
可以手动输入证书和密钥信息,上传包含这些信息的文件,在某些情况下,还可以生成新的 CA
证书和私有密钥。
证书和私有密钥。
在对象管理器中查看 PKI 对象列表时,系统会将证书的使用者可分辨名称显示为对象值。将指针悬
停在该值上可查看证书使用者的完整可分辨名称。要查看其他证书的详细信息,请编辑 PKI 对象。
停在该值上可查看证书使用者的完整可分辨名称。要查看其他证书的详细信息,请编辑 PKI 对象。
注
防御中心和受管设备在保存存储在内部 CA 对象和内部证书对象中的所有私有密钥之前,会使用
随机生成的密钥对它们进行加密。如果上传受密码保护的私有密钥,设备会使用用户提供的密码
对该密钥进行解密,然后用随机生成的密钥对其重新加密,再进行保存。
随机生成的密钥对它们进行加密。如果上传受密码保护的私有密钥,设备会使用用户提供的密码
对该密钥进行解密,然后用随机生成的密钥对其重新加密,再进行保存。
有关详细信息,请参阅以下各节:
•
•
•
•
使用内部证书颁发机构对象
许可证:任何环境
受支持的设备:3 系列
配置的每个内部证书颁发机构 (CA) 对象代表组织控制的 CA 的 CA 公共密钥证书。此类对象由对
象名称、CA 证书和配对私有密钥组成。可以在 SSL 规则中使用内部 CA 对象和对象组(请参阅
象名称、CA 证书和配对私有密钥组成。可以在 SSL 规则中使用内部 CA 对象和对象组(请参阅
)通过使用内部 CA 对服务器证书进行重签来解密传出加密流量。
注
如果在
Decrypt - Resign
SSL 规则中引用内部 CA 对象,且该规则与加密会话相匹配,在协商 SSL 握
手时,用户的浏览器可能会警告证书不可信。要避免此问题,请将内部 CA 对象证书添加到可信
根证书的客户端或域列表。
根证书的客户端或域列表。
可以通过以下方式创建内部 CA 对象:
•
导入现有基于 RSA 或基于椭圆曲线的 CA 证书和私有密钥
•
生成新的基于 RSA 的自签 CA 证书和私有密钥
•
生成未签名的基于 RSA 的 CA 证书和私有密钥。使用内部 CA 对象之前,必须向另一个 CA
提交证书签名请求 (CSR) 以对证书进行签名。
提交证书签名请求 (CSR) 以对证书进行签名。
创建包含签名证书的内部 CA 对象后,可以下载 CA 证书和私有密钥。系统使用用户提供的密码
对下载的证书和私有密钥进行加密。
对下载的证书和私有密钥进行加密。
无论是系统生成还是用户创建的内部 CA 对象名称,您都只能修改其名称,但不能修改其他对象
属性。
属性。
不能删除正在使用的内部 CA 对象。此外,在编辑用于 SSL 策略的内部 CA 对象后,相关联的访
问控制策略已过时。必须重新应用访问控制策略,才能使更改生效。
问控制策略已过时。必须重新应用访问控制策略,才能使更改生效。
有关详细信息,请参阅以下各节:
•
•
•
•