Cisco Cisco Web Security Appliance S170 사용자 가이드

11-6

思科网络安全设备 AsyncOS 8.8 用户指南

第 11 章创建解密策略以控制 HTTPS 流量

根证书

可以选择如何处理网络安全设备发放的根证书。

•

通知用户接受根证书。可以通知贵组织中的用户，告知其公司的新策略并指示其接受组织提
供的根证书作为受信任来源。

•

将根证书添加到客户端计算机。能够以受信任根证书颁发机构身份将根证书添加到网络上的
所有客户端计算机。这样，客户端应用将自动接受包含根证书的事务。

步骤 1

安全服务 (Security Services) > HTTPS 代理 (HTTPS Proxy)。

步骤 2

点击编辑设置 (Edit Settings)。

步骤 3

点击已生成或已上传的证书的 “下载证书” (Download Certificate) 链接。

注

要降低客户端计算机发生证书错误的可能性，请在生成根证书或将其上传到网络安全设备后提交
更改，然后将证书分发到客户端计算机，再提交对设备的更改。

管理 HTTPS 的证书验证和解密

网络安全设备在检测和解密内容之前会验证证书。

有效证书

有效证书的质量：

•

没有过期。证书的有效期包括当前日期。

•

证书颁发机构可识别。证书颁发机构包含在网络安全设备上存储的受信任证书颁发机构列
表中。

•

签名有效。已根据密码标准正确实施数字签名。

•

命名一致。公用名与 HTTP 报头中指定的主机名相匹配。

•

未吊销。证书颁发机构尚未吊销证书。