Cisco Cisco Web Security Appliance S170 사용자 가이드
11-7
思科网络安全设备 AsyncOS 8.8 用户指南
第 11 章 创建解密策略以控制 HTTPS 流量
根证书
由于各种原因而无效的证书
对于由于无法识别的根证书颁发机构和已过期证书而无效的服务器证书, HTTPS 代理执行适用
于无法识别的根证书颁发机构的操作。
于无法识别的根证书颁发机构的操作。
在所有其他情况下,对于由于多个原因而同时无效的服务器证书, HTTPS 代理按操作限制性从
高到低的顺序执行操作。
高到低的顺序执行操作。
面向已解密连接的不受信任的证书警告
当网络安全设备遇到无效证书并配置为解密连接时, AsyncOS 会创建要求最终用户接受或拒绝连
接的不受信任证书。证书的公用名是 “不受信任的证书警告” (Untrusted Certificate Warning)。
接的不受信任证书。证书的公用名是 “不受信任的证书警告” (Untrusted Certificate Warning)。
将此不受信任证书添加到受信任证书列表将会删除最终用户的用于接受或拒绝连接的选项。
当 AsyncOS 生成这些证书之一时,它创建包含文本“签署不受信任的密钥”(Signing untrusted
key) 或 “签署不受信任的证书” (Signing untrusted cert) 的代理日志条目。
key) 或 “签署不受信任的证书” (Signing untrusted cert) 的代理日志条目。
上传根证书和密钥
准备工作
•
启用 HTTPS 代理。
步骤 1
安全服务 (Security Services) > HTTPS 代理 (HTTPS Proxy)。
步骤 2
点击编辑设置 (Edit Settings)。
步骤 3
选择使用上传的证书和密钥 (Use Uploaded Certificate and Key)。
步骤 4
点击 “证书” (Certificate) 字段的浏览 (Browse) 以导航到本地计算机上存储的证书文件。
如果上传的文件包含多个证书或密钥,则 Web 代理使用文件中的第一个证书或密钥。
步骤 5
点击 “密钥” (Key) 字段的浏览 (Browse) 可导航到私钥文件。
注
密钥长度必须为 512 位、 1024 位或 2048 位。
步骤 6
如果密钥已加密,请选择密钥已加密 (Key is Encrypted)。
步骤 7
点击上传文件 (Upload Files) 可将证书和密钥文件传输到网络安全设备。
上传的证书信息显示在 “编辑 HTTPS 代理设置” (Edit HTTPS Proxy Settings) 页面上。
步骤 8
(可选)点击下载证书 (Download Certificate),从而可将该证书传输到网络上的客户端设备。
生成证书和密钥
准备工作
•
启用 HTTPS 代理。
步骤 1
安全服务 (Security Services) > HTTPS 代理 (HTTPS Proxy)。
步骤 2
点击编辑设置 (Edit Settings)。