المقدمة
يصف هذا المستند نوع الشهادة التي يجب إستخدامها لفك تشفير HTTPS على جهاز أمان الويب (WSA) من Cisco.
نظرة عامة على الشهادة
يتمتع WSA بالقدرة على إستخدام الشهادة الحالية والمفتاح الخاص للاستخدام مع فك تشفير HTTPS. على أي حال، قد يكون هناك لبس حول نوع الشهادة التي يجب إستخدامها، بما أن ليس كل شهادات X.509 تعمل.
هناك نوعان أساسيان من الشهادات: شهادات الخادم والشهادات الجذر. تحتوي كافة شهادات X.509 على حقل قيود أساسية، والذي يحدد نوع الشهادة:
- نوع الموضوع=وحدة النهاية - شهادة الخادم
- نوع الموضوع=CA - شهادة الجذر
ملاحظة: يجب أن تستخدم شهادة جذر، يشار إليها أيضا بشهادة توقيع المرجع المصدق (CA)، لفك تشفير HTTPS على WSA.
الشهادات الجذر
يتم إنشاء شهادة الجذر بشكل خاص لتوقيع شهادات الخادم. يمكنك إنشاء وتشغيل المرجع المصدق وتوقيع شهادات خادمك الخاصة.
ملاحظة: بما أن شهادة الجذر توقع شهادات أخرى فقط، فلا يمكن إستخدامها على خادم ويب لإجراء تشفير HTTPS وفك تشفيرها.
يجب أن يستخدم WSA شهادة الجذر لإنشاء شهادات الخادم الخاصة بفك تشفير HTTPS بشكل نشط. هناك خياران متاحان لاستخدام شهادة الجذر:
- إنشاء شهادة جذر على WSA. تقوم WSA بإنشاء شهادتها الجذر ومفتاحها الخاص، وتستخدم زوج المفاتيح هذا لتوقيع شهادات الخادم.
- يمكنك تحميل شهادة جذر حالية ومفتاحها الخاص إلى WSA. يعرف حقل الاسم الشائع (CN) في شهادة الجذر الوحدة (عادة اسم الشركة) التي تثق في أي من شهادات الخادم التي تحتوي على توقيعها.
ملاحظة: قبل أن تكون شهادة الخادم موثوقة، يجب أن تكون موقعة من قبل شهادة الجذر التي تحتوي على مفتاح عام موجود في مستعرض الويب.
شهادات الخادم
يتم إنشاء شهادة خادم بشكل خاص من أجل إستخدامها في تشفير HTTPS وفك تشفيرها ومن أجل التحقق من أصالة خادم معين. شهادات الخادم موقعة من قبل مرجع مصدق باستخدام شهادة جذر المرجع المصدق. والمثال الشائع للمرجع المصدق هو VeriSign أو Thawte.
ملاحظة: لا يمكن إستخدام شهادة خادم لتوقيع شهادات أخرى؛ وبالتالي، لا يعمل فك تشفير HTTPS إذا تم تثبيت شهادة خادم على WSA.
يحدد حقل CN في شهادة الخادم المضيف المراد إستخدام الشهادة له. على سبيل المثال، https://www.verisign.com يستخدم شهادة خادم ذات CN من www.verisign.com.
معلومات ذات صلة