Cisco Cisco Firepower Management Center 2000 User Guide

Page of 1826
 
22-20
FireSIGHT 系统用户指南
  
 22       使用 SSL 规则调整流量解密         
  根据加密属性控制流量
步骤 4
点击 
Add to Rule
 将所选对象添加到 
Subject Certificates
 列表中。
您也可以拖放所选对象。
步骤 5
添加或继续编辑规则。
必须应用与 SSL 策略关联的访问控制策略以使更改生效;请参阅
按证书状态控制加密流量
许可证:任何环境
受支持的设备:3 系列
通过 SSL 规则中的证书状态条件,可以根据用于加密流量的服务器证书的状态 (包括证书是否
有效、已撤销、已到期、尚未生效、自签名或由受信任 CA 签名)来处理和检查加密流量。
检查颁发或撤销证书的 CA 是否要求将根 CA 证书和中间 CA 证书以及关联的 CRL 作为对象进行
上传。然后,将这些受信任 CA 对象添加到 SSL 策略的受信任 CA 证书列表。
对于配置的每个证书状态 SSL 规则条件,可以根据给定状态存在还是缺失来匹配流量。可以在一
个规则条件中选择若干状态,如果证书与任何所选状态相匹配,则规则与流量相匹配。
有关详情,请参阅:
  •
  •
信任外部证书颁发机构
许可证:任何环境
受支持的设备:3 系列
您可以通过向 SSL 策略中添加根 CA 证书和中间 CA 证书来信任 CA,然后使用这些受信任 CA 验
证用于加密流量的服务器证书。已验证的服务器证书包括由受信任 CA 签名的证书。
如果受信任 CA 证书包含上传的证书撤销列表 (CRL),则还可以验证受信任 CA 是否已撤销加密
证书。有关详情,请参见
将受信任 CA 证书添加到 SSL 策略后,可以将具有各种证书状态条件的 SSL 规则配置为根据此流
量进行匹配。有关详细信息,请参阅
提示
将根 CA 的信任链链中的所有证书都上传到受信任 CA 证书列表中,包括根 CA 证书和所有中间 
CA 证书。否则,更难以检测由中间 CA 颁发的受信任证书。
创建 SSL 策略时,系统使用默认 Trusted CA 对象组 Sourcefire Trusted Authorities 填充 Trusted CA 
Certificates 选项卡。可以修改组中的单个条目,并且选择是否在 SSL 策略中包含该组。不能删除
该组。系统更新可以修改此列表中的条目,但会保留用户更改。有关详情,请参见