Introduction
Ce document décrit le type de certificat qui doit être utilisé pour le déchiffrement HTTPS sur un appareil de sécurité Web Cisco (WSA).
Présentation du certificat
L'appareil de sécurité Web peut utiliser un certificat et une clé privée actuels pour le déchiffrement HTTPS. Cependant, il peut y avoir confusion quant au type de certificat à utiliser, car tous les certificats x.509 ne fonctionnent pas.
Il existe deux principaux types de certificats : les certificats de serveur et les certificats racine. Tous les certificats x.509 contiennent un champ Contraintes de base, qui identifie le type de certificat :
- Subject Type=End Entity - Certificat de serveur
- Subject Type=CA - Certificat racine
Remarque : vous devez utiliser un certificat racine, également appelé certificat de signature d'autorité de certification (CA), pour le déchiffrement HTTPS sur le WSA.
Certificats racine
Un certificat racine est spécifiquement créé afin de signer les certificats du serveur. Vous pouvez créer et exploiter votre propre autorité de certification et signer vos propres certificats de serveur.
Remarque : étant donné qu'un certificat racine ne signe que d'autres certificats, il ne peut pas être utilisé sur un serveur Web afin d'effectuer le chiffrement et le déchiffrement HTTPS.
Le WSA doit utiliser un certificat racine afin de générer activement des certificats de serveur pour le déchiffrement HTTPS. Deux options sont disponibles pour l'utilisation du certificat racine :
- Générez un certificat racine sur le WSA. Le WSA crée son propre certificat racine et sa propre clé privée, et il utilise cette paire de clés afin de signer les certificats du serveur.
- Vous pouvez télécharger un certificat racine actuel et sa clé privée dans le WSA. Le champ Nom commun (CN) d'un certificat racine identifie l'entité (généralement un nom de société) qui fait confiance aux certificats de serveur contenant sa signature.
Remarque : avant qu'un certificat de serveur puisse être approuvé, il doit être signé par un certificat racine disposant d'une clé publique dans le navigateur Web.
Certificats de serveur
Un certificat de serveur est spécifiquement créé afin d'être utilisé dans le cryptage et le décryptage HTTPS et afin de vérifier l'authenticité d'un serveur spécifique. Les certificats de serveur sont signés par une autorité de certification utilisant le certificat racine de l'autorité de certification. Un exemple courant d'autorité de certification est VeriSign ou Thawte.
Remarque : un certificat de serveur ne peut pas être utilisé pour signer d'autres certificats ; par conséquent, le déchiffrement HTTPS ne fonctionne pas si un certificat de serveur est installé sur le WSA.
Le champ CN d'un certificat de serveur spécifie l'hôte pour lequel le certificat est destiné à être utilisé. Par exemple, https://www.verisign.com utilise un certificat de serveur avec un CN de www.verisign.com.
Informations connexes