Cisco Cisco Web Security Appliance S170 사용자 가이드
11-9
思科网络安全设备 AsyncOS 8.8 用户指南
第 11 章 创建解密策略以控制 HTTPS 流量
根证书
步骤 4
提交 (Submit) 并确认更改 (Commit Changes)。
证书吊销状态检查选项
要确定证书颁发机构是否已撤销证书,网络安全设备可以通过以下方式向证书颁发机构核查:
•
证书吊销列表 (仅限 Comodo 证书)。网络安全设备会检查 Comodo 的证书吊销列表。
Comodo 维护此列表,从而根据各自的策略对其进行更新。根据其上次更新时间,在网络安
全设备检查证书吊销列表时,该列表可能已过期。
Comodo 维护此列表,从而根据各自的策略对其进行更新。根据其上次更新时间,在网络安
全设备检查证书吊销列表时,该列表可能已过期。
•
在线证书状态协议 (OCSP)。网络安全设备实时向证书颁发机构核查吊销状态。如果证书颁发
机构支持 OCSP,则证书将包含用于实时状态检查的 URL。默认情况下,进行全新安装会
启用此功能,而进行更新则会禁用此功能。
机构支持 OCSP,则证书将包含用于实时状态检查的 URL。默认情况下,进行全新安装会
启用此功能,而进行更新则会禁用此功能。
注
网络安全设备仅对确定为在所有其他方面都有效并包含 OCSP URL 的证书执行 OCSP 查询。
相关主题
•
•
启用实时吊销状态检查
准备工作
•
确保 HTTPS 代理已启用。请参阅
步骤 1
安全服务 (Security Services) > HTTPS 代理 (HTTPS Proxy)。
步骤 2
点击编辑设置 (Edit Settings)。
步骤 3
选择启用在线证书状态协议 (OCSP) (Enable Online Certificate Status Protocol [OCSP])。
步骤 4
配置 OCSP 结果处理 (OCSP Result Handling) 属性。
思科建议将 “OCSP 结果处理” (OCSP Result Handling) 选项配置为与 “无效证书处理”
(Invalid Certificate Handling) 选项相同的操作。例如,如果将 “已到期证书” (Expired
Certificate) 设置为 “监控” (Monitor),请将 “已吊销证书” (Revoked Certificate) 配置为
(Invalid Certificate Handling) 选项相同的操作。例如,如果将 “已到期证书” (Expired
Certificate) 设置为 “监控” (Monitor),请将 “已吊销证书” (Revoked Certificate) 配置为
“监控” (Monitor)。
叶证书无效 (Invalid
leaf certificate)
leaf certificate)
叶证书存在问题,例如,拒绝、解码或不匹配问题。
其他所有错误类型
大多数其他错误类型都是由于设备无法与 HTTPS 服务器完成 SSL
握手。有关服务器证书的其他错误场景的详细信息,请参阅
http://www.openssl.org/docs/apps/verify.html
握手。有关服务器证书的其他错误场景的详细信息,请参阅
http://www.openssl.org/docs/apps/verify.html
。
证书错误类型
说明