Configurer le certificat de déchiffrement dans l'appareil Web sécurisé
Table des matières
Introduction
Ce document décrit les étapes de configuration des certificats de chiffrement HTTPS dans les appliances Web sécurisés (SWA) et les clients proxy.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Accès à l'interface graphique utilisateur (GUI) de SWA
- Accès administratif au SWA
Composants utilisés
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Décryptage HTTPS
Le déchiffrement HTTPS (Hypertext Transfer Protocol Secure) SWA utilise les certificats racine et les fichiers de clé privée que vous téléchargez sur l'appliance pour chiffrer le trafic. Les fichiers de certificat racine et de clé privée que vous téléchargez vers l'appliance doivent être au format PEM.
Remarque : le format DER n'est pas pris en charge.
Vous pouvez également télécharger un certificat intermédiaire signé par une autorité de certification racine. Lorsque le SWA imite le certificat du serveur, il envoie le certificat téléchargé avec le certificat imité à l'application cliente. De cette façon, tant que le certificat intermédiaire est signé par une autorité de certification racine à laquelle l'application cliente fait confiance, l'application fait également confiance au certificat de serveur imité.
Configurer le certificat de déchiffrement dans SWA
Le SWA peut utiliser un certificat et une clé privée actuels pour le déchiffrement HTTPS. Cependant, il peut y avoir confusion au sujet du type de certificat qui doit être utilisé, puisque tous les certificats x.509 ne fonctionnent pas.
Il existe deux types principaux de certificats : 'Certificats de serveur'et 'Certificats racine'. Tous les certificats x.509 contiennent un champ Contraintes de base, qui identifie le type de certificat :
- Subject Type=End Entity- Certificat de serveur
- Subject Type=CA- Certificat racine
Télécharger un certificat racine et une clé
Étape 1. À partir de l'interface utilisateur graphique Security Services et choisissez HTTPS Proxy.
Étape 2. Cliquer Edit Settings
Étape 3. Cliquez sur Utiliser le certificat et la clé téléchargés.
Étape 4. Cliquez sur Parcourir dans le champ Certificat pour accéder au fichier de certificat stocké sur la machine locale.
Remarque : si le fichier que vous téléchargez contient plusieurs certificats ou clés, le proxy Web utilise le premier certificat ou la première clé du fichier.
Étape 5. Cliquez sur Parcourir pour le champ Clé afin de naviguer vers le fichier de clé privée.
Remarque : la longueur de clé doit être de 512, 1 024 ou 2 048 bits.
Étape 6. Sélectionnez Clé chiffrée si la clé est chiffrée.
Étape 7. Cliquez sur Upload Files afin de transférer les fichiers de certificat et de clé vers l'appareil Web sécurisé.
Les informations de certificat téléchargées sont affichées sur la page Modifier les paramètres du proxy HTTPS.
Étape 8. (Facultatif) Cliquez sur Download Certificate (Télécharger le certificat) pour le transférer aux applications clientes sur le réseau.
Étape 9. Submit et Commit modifications.
Générer un certificat et une clé pour le proxy HTTPS
Étape 1. À partir de l'interface utilisateur graphique Security Services et choisissez HTTPS Proxy.
Étape 2. Cliquer Edit Settings.
Étape 3. Choisir Use Generated Certificate and Key.
Étape 4. Cliquer Generate New Certificate and Key.
Étape 5. Dans la Generate Certificate and Key , entrez les informations afin de les afficher dans le certificat racine.
Vous pouvez saisir n'importe quel caractère ASCII, à l'exception de la barre oblique (/) dans le champ Nom commun.
Étape 6. Cliquer Generate.
Étape 7. Les informations de certificat générées sont affichées sur la page Modifier les paramètres du proxy HTTPS.
Étape 8. (Facultatif) Cliquez sur Download Certificate afin que vous puissiez le transférer aux applications clientes sur le réseau.
Étape 9. (Facultatif) Cliquez sur le bouton Download Certificate Signing Request afin que vous puissiez envoyer la demande de signature de certificat (CSR) à une autorité de certification.
Étape 10. (Facultatif) Téléchargez le certificat signé sur l’appareil Web sécurisé après l’avoir reçu de l’autorité de certification. Vous pouvez le faire à tout moment après avoir généré le certificat sur l'appliance.
Étape 11. Submit et Commit modifications.
Importer un certificat
Importer un certificat de proxy en amont vers SWA
Si SWA est configuré pour utiliser un proxy en amont et que le proxy en amont est configuré pour le déchiffrement HTTPS, vous devez importer le certificat de chiffrement du proxy en amont vers SWA.
Vous pouvez gérer la liste des certificats de confiance, y ajouter des certificats et en supprimer des certificats.
Étape 1. Dans l'interface utilisateur graphique, sélectionnez Network et choisissez Certificate Management.
Étape 2. Cliquer Manage Trusted Root Certificates sur la page Gestion des certificats.
Étape 3. Afin d'ajouter un certificat racine approuvé personnalisé avec autorité de signature, ne figurant pas dans la liste reconnue par Cisco, cliquez sur Import puis envoyez le fichier de certificat.
Étape 4. Submit et Commit modifications.
Importer un certificat SWA dans un autre SWA
Si vous avez téléchargé le certificat et la clé HTTPS dans un SWA pour le proxy HTTPS et que les fichiers d'origine sont accessibles en ce moment, vous pouvez les importer dans un autre SWA à partir du fichier de configuration.
Étape 1. Dans l'interface utilisateur graphique des deux SWA, sélectionnez System Administration et cliquez sur Configuration File.
Étape 2. Cliquer Download sur l'ordinateur local afin d'afficher ou d'enregistrer.
Étape 3. Choisir Encrypt passwords dans les fichiers de configuration.
Étape 4. (Facultatif) Choisissez Utiliser un nom de fichier défini par l'utilisateur et attribuez le nom souhaité au fichier de configuration.
Étape 5. Cliquez sur Envoyer sous Current Configuration afin de télécharger la configuration .xml fichier.
Étape 6. Ouvrez les fichiers téléchargés avec des éditeurs de texte ou des éditeurs XML.
Étape 7. Copiez ces balises à partir de SWA avec le certificat, copiez toutes les données à l'intérieur des balises et remplacez-les dans le fichier de configuration d'autres SWA :
....
....
....
....
Étape 8. Enregistrer les modifications dans .xml du SWA de destination.
Étape 9. Afin d'importer la version modifiée .xml fichier de configuration vers le SWA de destination, à partir de l'interface utilisateur graphique, sélectionnez System Administration et cliquez sur Configuration File.
Étape 10. Dans la Load Configuration cliquet de section Load a configuration file from local computer.
Étape 11. Cliquez sur Choisir un fichier et choisissez le fichier modifié .xml fichier de configuration.
Étape 12. Cliquer Load afin d'importer le nouveau fichier de configuration avec le certificat et la clé.
Étape 13. Commit change si le système est invité à le faire.
Importer un certificat SWA dans un client Windows
Afin d'importer le certificat SWA HTTPS Proxy comme approuvé dans les ordinateurs clients avec le système d'exploitation Microsoft Windows, voici les étapes :
Étape 1. Cliquez sur Démarrer dans la barre des tâches et tapez Manage computer certificates.
Étape 2. Sur la page Certificats-Local Computer, développez Trusted Root Certification et cliquez avec le bouton droit sur le dossier Certificats.
Étape 3. Cliquer All Tasks et choisissez Import.
Étape 4. Dans la page Assistant Importation de certificat, cliquez sur Next.
Étape 5. Pour importer le fichier de certificat SWA, cliquez sur Browse et choisissez le certificat que vous avez téléchargé depuis SWA.
Conseil : pour télécharger le certificat SWA, reportez-vous à l'étape 8. de la section « Télécharger un certificat racine et une clé » ou « Génération d'un certificat et d'une clé pour le proxy HTTPS » de ce document.
Étape 6. Cliquer Place all certificates in the following de l'Aide.
Étape 7. Choisir Trusted Root Certification Authorities et cliquez sur Next.
Étape 8. Cliquer Finish.
Vous pouvez également utiliser cette commande afin d'importer le certificat vers Trusted Root Certification Authorities.
certutil -addstore -f "ROOT"
Remarque : vous devez remplacer
avec le chemin d'accès et le nom de fichier du certificat que vous avez téléchargé.
Importer le certificat SWA dans le client Mac
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA vers le client Mac OS.
Étape 2. Renommer l'extension de fichier en .crt.
Étape 3. Exécutez cette commande afin d'importer le certificat en tant que certificat approuvé :
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
Remarque : vous devez le remplacer par le chemin d'accès et le nom de fichier du certificat que vous avez téléchargé.
Importer un certificat SWA dans Ubuntu/Debian
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA.
Étape 2. Ouvrez le fichier de certificat dans l'éditeur de texte et copiez tout le contenu.
Étape 3. Créer un nouveau fichier dans /usr/local/share/ca-certificates/ avec .crt un poste.
Étape 4. Modifiez le fichier avec l'éditeur de texte de votre choix et le texte copié précédemment dans le nouveau fichier, puis enregistrez.
Étape 5. Exécutez cette commande afin d'actualiser les certificats dans le système d'exploitation.
sudo update-ca-certificates
Conseil : si le certificat est stocké localement sur le client, vous pouvez le copier sur /usr/local/share/ca-certificates/ et s'exécuter sudo update-ca-certificates.
Remarque : dans certaines versions, vous devez installer le package ca-certificates avec cette commande : sudo apt-get install -y ca-certificates.
Importer un certificat SWA dans CentOS 6
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA.
Étape 2. Ouvrez le fichier de certificat dans l'éditeur de texte et copiez tout le contenu du fichier.
Étape 3. Créer un nouveau fichier dans /etc/pki/ca-trust/source/anchors/ avec .crt poste.
Étape 4. Modifiez le fichier avec l'éditeur de texte de votre choix et le texte copié précédemment dans le nouveau fichier, puis enregistrez.
Étape 5. Installez le package ca-certificates :
yum install ca-certificates
Étape 6. Exécutez cette commande pour actualiser les certificats dans le système d'exploitation :
update-ca-trust extract
Conseil : si le certificat est stocké localement sur le client, vous pouvez le copier sur /etc/pki/ca-trust/source/anchors/ et s'exécuter update-ca-trust extract après avoir installé le ca-certificates.
Importer un certificat SWA dans CentOS 5
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA.
Étape 2. Ouvrez le fichier de certificat dans l'éditeur de texte et copiez tout le contenu du fichier.
Étape 3. Créer un nouveau fichier dans le dossier actif avec .crt extension (par exemple, SWA.crt.
Étape 4. Modifiez le /etc/pki/tls/certs/ca-bundle.crt avec l'éditeur de texte de votre choix, collez le texte copié à la fin du fichier et enregistrez.
Conseil : si le certificat est stocké localement sur le client (dans cet exemple, le nom du fichier est SWA.crt), vous pouvez ajouter le certificat avec cette commande : cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.
Importer un certificat SWA dans Mozilla Firefox
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA.
Étape 2. Renommer le fichier en .crt.
Étape 3. Ouvrez Firefox et cliquez sur le menu (trois barres dans le coin supérieur droit).
Étape 4. Sélectionnez Paramètres (dans certaines versions, il s'agit d'Options).
Étape 5. Cliquer Privacy & Security dans le menu de gauche et faites défiler jusqu'à Certificates.
Étape 6. Cliquer View Certificates.
Étape 7. Cliquez sur le bouton Authorities , puis sur Import.
Étape 8. Sélectionnez le fichier de certificat et cliquez sur Open.
Étape 9. Cliquer OK.
Importer un certificat SWA dans Google Chrome
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA.
Étape 2. Renommer le fichier en .crt.
Étape 3. Ouvrez Google Chrome et cliquez sur Customize and control Google Chrome(trois points en haut à droite).
Étape 4. Choisir Settings.
Étape 5. Cliquer Privacy and Security dans le menu de gauche.
Étape 6. Choisir Security.
Étape 7. Faites défiler jusqu'à Manage certificates et cliquez sur le bouton à droite.
Étape 8. Sélectionnez la Trusted Root Certification Authorities et cliquez sur Import.
Étape 9. Sélectionnez le fichier de certificat et cliquez sur Open.
Étape 10. Cliquer OK.
Remarque : si vous installez le certificat SWA dans le système d'exploitation, Google Chrome fait confiance à ce certificat et il n'est pas nécessaire d'importer le certificat séparément dans votre navigateur.
Importer un certificat SWA dans Microsoft Edge/Internet Explorer
Microsoft Edge et Internet Explorer (IE) utilisent des certificats de système d'exploitation. Si vous installez le certificat SWA dans le système d'exploitation, il n'est pas nécessaire d'importer le certificat séparément dans votre navigateur.
Importer un certificat SWA dans Safari
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA.
Étape 2. Renommer le fichier en .crt.
Étape 3. Dans le Launchpad, recherchez Keychain Access et cliquez dessus.
Étape 4. A partir des versions File clic sur menu Add Keychain.
Étape 5. Choisissez le fichier de certificat SWA et cliquez sur Add.
Étape 6. Choisir Security.
Étape 7. Faites défiler jusqu'à Manage certificates et cliquez sur le bouton à droite.
Étape 8. Sélectionnez laTrusted Root Certification Authorities et cliquez sur Import.
Étape 9. Sélectionnez le fichier de certificat et cliquez sur Open.
Étape 10. Cliquer OK.
Importer un certificat SWA de la stratégie de groupe vers les clients
Afin de distribuer des certificats aux ordinateurs clients par la stratégie de groupe à partir d'Active Directory, procédez comme suit :
Étape 1. Téléchargez le certificat du proxy HTTPS depuis SWA.
Étape 2. Renommer le fichier en .crt.
Étape 3. Copiez le fichier de certificat sur votre contrôleur de domaine.
Étape 4. Sur le contrôleur de domaine, cliquez sur start et ouvrez la Group Policy Management composant logiciel enfichable.
Étape 5. Recherchez l'objet de stratégie de groupe (GPO) souhaité ou créez un nouvel objet de stratégie de groupe pour contenir le certificat SWA afin de l'importer vers le client.
Étape 6. Cliquez avec le bouton droit sur l'objet de stratégie de groupe, puis cliquez sur Edit.
Étape 7. Dans le menu de gauche, accédez à Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.
Étape 8. Cliquez avec le bouton droit sur Trusted Root Certification Authorities, puis cliquez sur Import.
Étape 9. Cliquer Next sur la page Welcome to the Certificate Import Wizard s'affiche.
Étape 10. Sélectionnez le fichier de certificat SWA à importer et cliquez sur Next.
Étape 11. Cliquer Place all certificates in the following store, puis cliquez sur Next.
Étape 12. Vérifiez que les informations fournies sont correctes, puis cliquez sur Finish.
Remarque : dans certaines conditions, vous devez redémarrer le client ou exécuter gpupdate /force afin d'appliquer les modifications sur l'ordinateur client Active Directory.
Informations connexes
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
23-May-2023 |
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)