在安全Web设备中配置解密证书

简介

本文档介绍在安全网络设备(SWA)和代理客户端中配置HTTPS加密证书的步骤。

先决条件

要求

Cisco 建议您了解以下主题：

• 访问SWA的图形用户界面(GUI)

• 对SWA的管理访问

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您的网络处于活动状态，请确保您了解所有命令的潜在影响。

HTTPS解密

SWA超文本传输协议安全(HTTPS)解密使用您上传到设备的根证书和私钥文件来加密流量。上传到设备的根证书和私钥文件必须是PEM格式。

您还可以上传根证书颁发机构签名的中间证书。当SWA模拟服务器证书时，它将上传的证书与模拟的证书一起发送到客户端应用。这样，只要中间证书由客户端应用信任的根证书颁发机构(CA)签名，应用也信任伪装的服务器证书。

在SWA中配置解密证书

SWA能够使用当前证书和私钥进行HTTPS解密。但是，由于并非所有x.509证书都起作用，因此可能会对必须使用的证书类型造成混淆。

证书有两种主要类型：“服务器证书”和“根证书”。所有x.509证书都包含Basic Constraints字段，该字段标识证书类型：

• Subject Type=End Entity — 服务器证书
• Subject Type=CA — 根证书

上传根证书和密钥

步骤1: 从GUI导航至 Security Services 选择 HTTPS Proxy.
第二步：点击 Edit Settings.
第三步：点击Use Uploaded Certificate and Key。
第四步：点击证书字段的浏览(Browse)，导航至本地计算机上存储的证书文件。

第五步：点击Key字段的Browse以导航到私钥文件。

第六步：如果密钥已加密，请选择Key is Encrypted。
步骤 7.点击Upload Files以将证书和密钥文件传输到安全Web设备。
上传的证书信息显示在Edit HTTPS Proxy Settings页面上。
步骤8.（可选）点击下载证书(Download Certificate)将其传输到网络上的客户端应用程序。

步骤 9 Submit 和 Commit 更改。

为HTTPS代理生成证书和密钥

步骤1: 从GUI导航至 Security Services 选择 HTTPS Proxy.
第二步：点击 Edit Settings.
第三步：选择 Use Generated Certificate and Key.
第四步：点击 Generate New Certificate and Key.
第五步：如果 Generate Certificate and Key 对话框中，输入信息以在根证书中显示该信息。
您可以在Common Name字段中输入除正斜杠(/)之外的任何ASCII字符。
第六步：点击 Generate.
步骤 7.生成的证书信息显示在“编辑HTTPS代理设置”(Edit HTTPS Proxy Settings)页面上。
步骤8.（可选）点击 Download Certificate 以便将其传输到网络上的客户端应用。
步骤9.（可选）点击 Download Certificate Signing Request 链接，以便您可以向CA提交证书签名请求(CSR)。
步骤10.（可选）从CA收到签名证书后，将证书上传到安全Web设备。您可以在设备上生成证书后随时执行此操作。
步骤 11 Submit 和 Commit 更改。

导入证书

将上游代理证书导入SWA

如果SWA配置为使用上游代理，并且上游代理配置为进行HTTPS解密，则必须将上游代理加密证书导入到SWA。

您可以管理受信任证书列表并向其添加证书，并从其上以功能方式删除证书。

步骤1:从GUI中选择 Network 选择 Certificate Management.
第二步：点击 Manage Trusted Root Certificates 在Certificate Management页面上。
第三步：要添加具有签名权限的自定义受信任根证书（而不是思科识别的列表），请单击 Import 然后提交证书文件。

第四步： Submit 和 Commit 更改。

将SWA证书导入另一个SWA

如果您已经上传了HTTPS代理的一个SWA中的HTTPS证书和密钥，并且此时可以访问原始文件，您可以从配置文件将其导入到另一个SWA。

步骤1:从两个SWA的GUI中选择 System Administration 并点击 Configuration File.

第二步： 点击 Download 查看或保存文件。

第三步： 选择 Encrypt passwords 在配置文件中。

步骤4.（可选）选择使用用户定义的文件名并为配置文件指定所需的名称。

第五步：点击“提交”(Submit) 要下载配置的当前配置 .xml 文件.

第六步：使用文本编辑器或XML编辑器打开下载的文件。

步骤 7.使用证书从SWA复制这些标记，复制标记内的所有数据，并将它们替换在其他SWA的配置文件中：

    
    
      .... 
    

    
    
      .... 
    

    
    
      .... 
     
       .... 
      
    

步骤 8保存更改 .xml  目标SWA的文件。

步骤 9要导入已编辑的 .xml 配置文件返回目标SWA，从GUI中选择 System Administration 并点击 Configuration File.

步骤 10如果 Load Configuration 部分单击 Load a configuration file from local computer.

步骤 11点击Choose file（选择文件），然后选择已编辑的 .xml 配置文件.

步骤 12点击 Load 以便使用证书和密钥导入新的配置文件。

步骤 13 Commit 如果系统提示更改。

在Windows客户端中导入SWA证书 

要将SWA HTTPS代理证书导入为具有Microsoft Windows操作系统的客户端计算机中的受信任证书，请执行以下步骤：

步骤1:从任务栏单击“开始”并键入 Manage computer certificates.
第二步：在Certificates-Local Computer页面上，展开 Trusted Root Certification 并右键单击Certificates文件夹。
第三步：点击 All Tasks 选择 Import.
第四步：在“证书导入向导”(Certificate Import Wizard)页面上，单击 Next.
第五步：要导入SWA证书文件，请单击 Browse 并选择您从SWA下载的证书。

第六步：点击 Place all certificates in the following 复选框。
步骤 7.选择 Trusted Root Certification Authorities 并点击 Next.
步骤 8点击 Finish.

或者，您可以使用此命令将证书导入到 Trusted Root Certification Authorities.

certutil -addstore -f "ROOT" 
    
    

在Mac客户端中导入SWA证书

步骤1:将HTTPS代理证书从SWA下载到Mac OS客户端。

第二步：将文件扩展名重命名为 .crt.

第三步：运行以下命令以将证书导入为受信任证书：

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain 
    
    

注意：您必须将其替换为当前下载的证书路径和文件名。

在Ubuntu/Debian中导入SWA证书

步骤1:从SWA下载HTTPS代理证书。

第二步： 在文本编辑器中打开证书文件并复制所有内容。

第三步： 在中创建新文件 /usr/local/share/ca-certificates/  与 .crt 分机。

第四步：使用所需的文本编辑器编辑文件，并将过去复制的文本保存到新文件中，然后保存。

第五步： 运行此命令以刷新操作系统中的证书。

sudo update-ca-certificates

提示：如果证书存储在客户端本地，您可以将证书复制到 /usr/local/share/ca-certificates/ 并运行 sudo update-ca-certificates.

注：在某些版本中，必须使用以下命令安装ca-certificates软件包： sudo apt-get install -y ca-certificates.

在CentOS 6中导入SWA证书

步骤1:从SWA下载HTTPS代理证书。

第二步： 在文本编辑器中打开证书文件并复制文件中的所有内容。

第三步： 在中创建新文件 /etc/pki/ca-trust/source/anchors/  与 .crt 内线.

第四步：使用所需的文本编辑器编辑文件，并将过去复制的文本保存到新文件中，然后保存。

第五步：安装ca-certificates软件包：

yum install ca-certificates

第六步： 运行以下命令以刷新操作系统中的证书：

update-ca-trust extract

提示：如果证书存储在客户端本地，您可以将证书复制到 /etc/pki/ca-trust/source/anchors/ 并运行 update-ca-trust extract 安装之后 ca-certificates.

在CentOS 5中导入SWA证书

步骤1:从SWA下载HTTPS代理证书。

第二步： 在文本编辑器中打开证书文件并复制文件中的所有内容。

第三步： 在当前文件夹中创建新文件 .crt 分机(例如， SWA.crt影响。

第四步：编辑 /etc/pki/tls/certs/ca-bundle.crt 使用所需的文本编辑器，将复制的文本粘贴到文件末尾，然后保存。

提示：如果证书存储在客户端本地(在本示例中，文件名是 SWA.crt)，您可以使用以下命令附加证书： cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.

在Mozilla Firefox中导入SWA证书

步骤1:从SWA下载HTTPS代理证书。

第二步： 将文件重命名为 .crt.

第三步： 打开Firefox并单击菜单（右上角三个条）。 

第四步：选择Settings（某些版本为Options）。

第五步：点击 Privacy & Security 在左侧菜单中滚动到 Certificates.

第六步： 点击 View Certificates.

步骤 7. 单击 Authorities 选项卡，然后 Import.

步骤 8选择证书文件并单击 Open.

步骤 9点击 OK.

在Google Chrome中导入SWA证书

步骤1:从SWA下载HTTPS代理证书。

第二步： 将文件重命名为 .crt.

第三步： 打开Google Chrome并单击 Customize and control Google Chrome（右上角三个点）。

第四步：选择 Settings.

第五步：点击 Privacy and Security 从左侧菜单中。

第六步： 选择 Security.

步骤 7. 滚动到 Manage certificates  然后单击右侧的按钮。

步骤 8选择 Trusted Root Certification Authorities 选项卡并单击 Import.

步骤 9选择证书文件并单击 Open.

步骤 10点击 OK.

注意：如果您在操作系统中安装SWA证书，Google Chrome会信任该证书，因此无需将证书单独导入到浏览器中。

在Microsoft Edge/Internet Explorer中导入SWA证书

Microsoft Edge和Internet Explorer(IE)使用操作系统证书。如果您在操作系统中安装SWA证书，则无需将证书单独导入到浏览器中。

在Safari中导入SWA证书

步骤1:从SWA下载HTTPS代理证书。

第二步： 将文件重命名为 .crt.

第三步： 在Launchpad中搜索 Keychain Access 然后点击。

第四步：从 File 菜单点击 Add Keychain.

第五步： 选择SWA证书文件并单击 Add.

第六步： 选择 Security.

步骤 7. 滚动到 Manage certificates 然后单击右侧的按钮。

步骤 8选择Trusted Root Certification Authorities 选项卡并单击 Import.

步骤 9选择证书文件并单击 Open.

步骤 10点击 OK.

将SWA证书从组策略导入到客户端

要通过Active Directory中的组策略将证书分发到客户端计算机，请执行以下步骤：

步骤1:从SWA下载HTTPS代理证书。

第二步： 将文件重命名为 .crt.

第三步： 将证书文件复制到您的域控制器。

第四步： 在域控制器上，单击 start  并打开 Group Policy Management 管理单元。

第五步： 查找所需的组策略对象(GPO)或创建包含SWA证书的新GPO，以便将其导入客户端。

第六步： 右键单击GPO，然后单击 Edit.

步骤 7. 从左侧菜单中，导航至 Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.

步骤 8右键单击 Trusted Root Certification Authorities,并点击 Import.

步骤 9 点击 Next 在 Welcome to the Certificate Import Wizard 页码.

步骤 10 选择SWA证书文件以导入，然后单击 Next.

步骤 11 点击 Place all certificates in the following store，然后单击 Next.

步骤 12 验证所提供的信息是否准确，然后单击 Finish.

注意：在某些情况下，必须重新启动客户端或运行 gpupdate /force 以便在Active Directory客户端计算机上应用更改。

相关信息

• 思科安全网络设备AsyncOS 14.5用户指南 — GD（通用部署）
• 使用组策略将证书分发到客户端计算机 | Microsoft学习
• 技术支持和文档 - Cisco Systems