Cisco Cisco Firepower Management Center 2000 用户指南
64-5
FireSIGHT 系统用户指南
第 64 章 配置设备设置
使用自定义 HTTPS 证书
上传服务器证书
许可证:任何环境
获得证书颁发机构 (CA) 的签名证书后,可以上传该证书。如果生成证书的签署机构要求您信任
一个中间 CA,那么您还必须提供一个证书链 (有时称为证书路径)。如果您需要用户证书,这
些证书必须由其中间机构包括在证书链中的证书颁发机构生成。
一个中间 CA,那么您还必须提供一个证书链 (有时称为证书路径)。如果您需要用户证书,这
些证书必须由其中间机构包括在证书链中的证书颁发机构生成。
要上传证书,请执行以下操作:
访问:管理
步骤 1
选择
System > Local > Configuration
。
系统将显示 Information 页面。
步骤 2
点击
HTTPS Certificate
。
系统将显示 HTTPS Certificate 页面。
步骤 3
点击
Import HTTPS Certificate
。
将会弹出 Import HTTPS Certificate 窗口。
步骤 4
在文本编辑器中打开服务器证书,复制整个文本块 (包括
BEGIN CERTIFICATE
和
END
CERTIFICATE
行),然后将其粘贴到
Server Certificate
字段中。
步骤 5
或者,打开私有密钥文件,复制整个文本块 (包括
BEGIN RSA PRIVATE KEY
和
END RSA PRIVATE
KEY
行),然后将其粘贴到
Private Key
字段中。
步骤 6
打开您需要提供的每一个中间证书,复制整个文本块,然后将其复制到
Certificate Chain
字段中。
步骤 7
点击
Save
上传证书。
此时将会上传证书,并更新 HTTPS Certificate 页面以反映新证书。
要求用户证书
许可证:任何环境
可使用客户端浏览器证书检查功能来限制对FireSIGHT 系统网络服务器的访问。启用用户证书
时,网络服务器会检查用户的浏览器客户端是否选择了有效的用户证书。所选的用户证书必须由
生成服务器证书的同一个可信证书颁发机构生成。如果用户在浏览器中选择的证书无效,或者并
非由设备上证书链中的证书颁发机构生成,那么浏览器将无法加载网络界面。
时,网络服务器会检查用户的浏览器客户端是否选择了有效的用户证书。所选的用户证书必须由
生成服务器证书的同一个可信证书颁发机构生成。如果用户在浏览器中选择的证书无效,或者并
非由设备上证书链中的证书颁发机构生成,那么浏览器将无法加载网络界面。
您还可以加载服务器的证书撤销列表 (CRL)。 CRL 列出证书颁发机构已撤销的所有证书,以便网
络服务器能够验证客户端浏览器证书是否已被撤销。如果用户选择在 CRL 中列为已撤销证书的
证书,浏览器将无法加载网络界面。设备支持上传采用可区别编码规则 (DER) 格式的 CRL。对一
台服务器只能上传一个 CRL。
络服务器能够验证客户端浏览器证书是否已被撤销。如果用户选择在 CRL 中列为已撤销证书的
证书,浏览器将无法加载网络界面。设备支持上传采用可区别编码规则 (DER) 格式的 CRL。对一
台服务器只能上传一个 CRL。
要确保撤销证书列表是最新的,您可以创建计划任务来更新 CRL。界面中会列出 CRL 的最新更新。
请确保使用的是用于服务器证书的同一证书颁发机构,并且已上传证书的中间证书。有关详细信
息,请参阅
息,请参阅
注
要启用用户证书以便访问网络界面,浏览器中必须存在有效的用户证书 (或者您的读卡器中已插
入 CAC)。
入 CAC)。