WSA-Zertifikatverwendung für HTTPS-Entschlüsselung

Download-Optionen

  • PDF     (236.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (84.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (66.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:11. Juni 2014
Dokument-ID:117792

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird der Zertifikatstyp beschrieben, der für die HTTPS-Entschlüsselung auf einer Cisco Web Security Appliance (WSA) verwendet werden soll.

Zertifikatsübersicht

Die WSA kann ein aktuelles Zertifikat und einen privaten Schlüssel für die HTTPS-Entschlüsselung verwenden. Es kann jedoch zu Verwirrung darüber kommen, welche Art von Zertifikat verwendet werden sollte, da nicht alle x.509-Zertifikate funktionieren.

Es gibt zwei Haupttypen von Zertifikaten: Serverzertifikate und Stammzertifikate. Alle x.509-Zertifikate enthalten ein Feld für grundlegende Einschränkungen, in dem der Zertifikatstyp angegeben ist:

  • Subject Type=End Entity - Serverzertifikat

  • Betrefftyp=CA - Stammzertifikat

Hinweis: Für die HTTPS-Entschlüsselung auf der WSA müssen Sie ein Root-Zertifikat verwenden, das auch als CA-Signaturzertifikat (Certificate Authority) bezeichnet wird.

Stammzertifikate

Ein Root-Zertifikat wird speziell zum Signieren von Serverzertifikaten erstellt. Sie können eine eigene Zertifizierungsstelle erstellen und betreiben und Ihre eigenen Serverzertifikate signieren.

Hinweis: Da ein Root-Zertifikat nur andere Zertifikate signiert, kann es nicht auf einem Webserver verwendet werden, um HTTPS-Verschlüsselung und -Entschlüsselung durchzuführen.

Die WSA muss ein Root-Zertifikat verwenden, um aktiv Serverzertifikate für die HTTPS-Entschlüsselung zu generieren. Für die Verwendung des Stammzertifikats stehen zwei Optionen zur Verfügung:

  • Erstellen eines Stammzertifikats auf der WSA Die WSA erstellt ihr eigenes Root-Zertifikat und ihren privaten Schlüssel und verwendet dieses Schlüsselpaar, um Serverzertifikate zu signieren.

  • Sie können ein aktuelles Root-Zertifikat und dessen privaten Schlüssel in die WSA hochladen. Das CN-Feld (Common Name) in einem Stammzertifikat identifiziert die Entität (in der Regel den Namen eines Unternehmens), die allen Serverzertifikaten vertraut, die ihre Signatur enthalten.

Hinweis: Bevor ein Serverzertifikat als vertrauenswürdig eingestuft werden kann, muss es von einem Stammzertifikat signiert werden, das über einen öffentlichen Schlüssel im Webbrowser verfügt.

Serverzertifikate

Ein Serverzertifikat wird speziell erstellt, um bei der HTTPS-Verschlüsselung und -Entschlüsselung verwendet zu werden und um die Authentizität eines bestimmten Servers zu überprüfen. Serverzertifikate werden von einer Zertifizierungsstelle unter Verwendung des Zertifizierungsstellen-Stammzertifikats signiert. Ein gängiges Beispiel für eine Zertifizierungsstelle ist VeriSign oder Thawte.

Hinweis: Ein Serverzertifikat kann nicht zum Signieren anderer Zertifikate verwendet werden. Daher funktioniert die HTTPS-Entschlüsselung nicht, wenn ein Serverzertifikat auf der WSA installiert ist.

Das CN-Feld in einem Serverzertifikat gibt den Host an, für den das Zertifikat verwendet werden soll. Beispielsweise verwendet https://www.verisign.com ein Serverzertifikat mit dem CN von www.verisign.com.

Zugehörige Informationen 

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
11-Jun-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Josh Wolfer
    Cisco TAC Engineer.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.