Cisco Cisco Web Security Appliance S160 Guía Del Usuario
11-5
思科网络安全设备 AsyncOS 8.8 用户指南
第 11 章 创建解密策略以控制 HTTPS 流量
根证书
步骤 3
启用解密选项。
身份验证和 HTTPS 连接
在 HTTPS 连接层进行身份验证适用于以下类型的请求:
根证书
HTTPS 代理使用上传到设备的根证书和私钥文件来解密流量。上传到设备的根证书和私钥文件
必须是 PEM 格式;不支持 DER 格式。
必须是 PEM 格式;不支持 DER 格式。
可以通过以下方式输入根证书信息:
•
生成。可以输入某些基本组织信息,然后点击一个按钮,以使设备生成证书的其余内容和
私钥。
私钥。
•
上传。可以上传证书文件及其在设备外创建的匹配私钥文件。
注
还可以上传已由根证书颁发机构签署的中间证书。当 Web 代理模仿服务器证书时,它将上传的证
书以及模仿的证书发送到客户端应用。这样,只要中间证书由客户端应用信任的根证书颁发机构签
署,应用也会信任模仿的服务器证书。有关详细信息,请参阅
书以及模仿的证书发送到客户端应用。这样,只要中间证书由客户端应用信任的根证书颁发机构签
署,应用也会信任模仿的服务器证书。有关详细信息,请参阅
。
解密选项
说明
为身份验证解密
(Decrypt for
Authentication)
(Decrypt for
Authentication)
对于在此 HTTPS 事务之前尚未进行身份验证的用户,允许解密以进行
身份验证。
身份验证。
为最终用户通知解密
(Decrypt for
End-User
Notification)
(Decrypt for
End-User
Notification)
允许解密,以便 AsyncOS 可以显示最终用户通知。
注
如果证书无效,并且无效证书即将丢弃,则在运行策略跟踪时,
事务的第一个记录的操作将是 “解密” (decrypt)。
事务的第一个记录的操作将是 “解密” (decrypt)。
为最终用户确认解密
(Decrypt for
End-User
Acknowledgement)
(Decrypt for
End-User
Acknowledgement)
对于在此 HTTPS 事务之前尚未确认 Web 代理的用户,允许解密,
以便 AsyncOS 可以显示最终用户确认。
以便 AsyncOS 可以显示最终用户确认。
为应用检测解密
(Decrypt for
Application
Detection)
(Decrypt for
Application
Detection)
增强 AsyncOS 检测 HTTPS 应用的能力。
选项
说明
显式请求 (Explicit
requests)
requests)
•
已禁用安全客户端身份验证或
•
已启用安全客户端身份验证,并且基于 IP 的代理
透明请求
(Transparent
requests)
(Transparent
requests)
•
基于 IP 的代理,已启用适用于身份验证的解密
•
基于 IP 的代理,客户端先前使用 HTTP 请求进行了身份验证