Cisco Cisco Web Security Appliance S170 사용자 가이드

思科网络安全设备 AsyncOS 8.8 用户指南

第 11 章      创建解密策略以控制 HTTPS 流量          

  根证书

步骤 3

选择使用生成的证书和密钥 (Use Generated Certificate and Key)。

步骤 4

点击生成新的证书和密钥 (Generate New Certificate and Key)。

步骤 5

在 “生成证书和密钥” (Generate Certificate and Key) 对话框中，输入要在根证书中显示的
信息。

您可以在公用名 (Common Name) 字段中输入除正斜杠 (/) 以外的任何 ASCII 字符。

步骤 6

点击生成 (Generate)。

步骤 7

生成的证书信息显示在 “编辑 HTTPS 代理设置” (Edit HTTPS Proxy Settings) 页面上。

步骤 8

（可选）点击下载证书 (Download Certificate)，从而可将该证书传输到网络上的客户端设备。

步骤 9

（可选）点击下载证书签名请求 (Download Certificate Signing Request) 链接，从而可以将证书

签名请求 (CSR) 提交到证书颁发机构 (CA)。

步骤 10

（可选）在从 CA 收回签名证书后将该证书上传到网络安全设备。可以在设备上生成证书后随时

上传。

步骤 11

提交 (Submit) 并确认更改 (Commit Changes)。

配置无效证书处理

准备工作

验证是否启用了 HTTPS 代理，如

中所述

步骤 1

安全服务 (Security Services) > HTTPS 代理 (HTTPS Proxy)。

步骤 2

点击编辑设置 (Edit Settings)。

步骤 3

对于每个类型的证书错误，定义代理响应：丢弃 (Drop)、解密 (Decrypt) 或监控 (Monitor)。

证书错误类型

说明

已过期 (Expired)

当前日期超出证书的有效性范围。

主机名不匹配 
(Mismatched 
hostname)

证书中的主机名与客户端尝试访问的主机名不匹配。

注

仅当 Web 代理在显式转发模式下部署时，才能执行主机名匹
配。在透明模式下部署该代理时，它不知道目标服务器的主机名

（它仅知道 IP 地址），因此其不能与服务器证书中的主机名进行

比较。

根证书颁发机构/颁发
者无法识别 
(Unrecognized root 
authority/issuer)

无法识别根证书颁发机构或中间证书颁发机构。

签名证书无效 (Invalid 
signing certificate)

签名证书存在问题。