Configura certificato di decrittografia in Appliance Web sicura
Sommario
Introduzione
In questo documento viene descritto come configurare i certificati di crittografia HTTPS in client proxy e SWA (Secure Web Appliance).
Prerequisiti
Requisiti
Cisco raccomanda la conoscenza dei seguenti argomenti:
- Accesso all'interfaccia grafica dell'SWA
- Accesso amministrativo all'SWA
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Decrittografia HTTPS
La decrittografia SWA Hypertext Transfer Protocol Secure (HTTPS) utilizza i certificati radice e i file delle chiavi private caricati nell'accessorio per crittografare il traffico. Il certificato radice e i file di chiave privata caricati nell'accessorio devono essere in formato PEM.
Nota: formato DER non supportato.
È inoltre possibile caricare un certificato intermedio firmato da un'autorità di certificazione radice. Quando l'SWA imita il certificato del server, invia il certificato caricato insieme al certificato con imitazione all'applicazione client. In questo modo, a condizione che il certificato intermedio sia firmato da un'autorità di certificazione (CA) radice considerata attendibile dall'applicazione client, l'applicazione considererà attendibile anche il certificato del server con cui è stata eseguita la simulazione.
Configura certificato di decrittografia in SWA
L'SWA può utilizzare un certificato corrente e una chiave privata per la decrittografia HTTPS. Tuttavia, può esserci confusione sul tipo di certificato da utilizzare, poiché non tutti i certificati x.509 funzionano.
Esistono due tipi principali di certificati: 'Certificati server' e 'Certificati radice'. Tutti i certificati x.509 contengono un campo Vincoli di base che identifica il tipo di certificato:
- Subject Type=Fine entità- Certificato server
- Subject Type=CA- Certificato radice
Carica un certificato radice e una chiave
Passaggio 1. Dalla GUI, passare alla Security Services e scegliere HTTPS Proxy.
Passaggio 2. Fare clic su Edit Settings
Passaggio 3. Fare clic su Usa chiave e certificato caricati.
Passaggio 4. Fare clic su Sfoglia per il campo Certificato per passare al file di certificato archiviato nel computer locale.
Nota: se il file caricato contiene più certificati o chiavi, il proxy Web utilizza il primo certificato o chiave del file.
Passaggio 5. Fare clic su Sfoglia per il campo Chiave per passare al file della chiave privata.
Nota: la lunghezza della chiave deve essere di 512, 1024 o 2048 bit.
Passaggio 6. Selezionare Chiave crittografata se la chiave è crittografata.
Passaggio 7. Fare clic su Carica file per trasferire il certificato e i file di chiave in Secure Web Appliance.
Le informazioni sul certificato caricato vengono visualizzate nella pagina Modifica impostazioni proxy HTTPS.
Passaggio 8. (Facoltativo) Fare clic su Scarica certificato per trasferirlo alle applicazioni client sulla rete.
Passaggio 9. Submit e Commit modifiche.
Genera certificato e chiave per il proxy HTTPS
Passaggio 1. Dalla GUI, passare alla Security Services e scegliere HTTPS Proxy.
Passaggio 2. Fare clic su Edit Settings.
Passaggio 3. Scegli Use Generated Certificate and Key.
Passaggio 4. Fare clic su Generate New Certificate and Key.
Passaggio 5. Nella scheda Generate Certificate and Key immettere le informazioni per visualizzarle nel certificato radice.
È possibile immettere qualsiasi carattere ASCII ad eccezione della barra (/) nel campo Nome comune.
Passaggio 6. Fare clic su Generate.
Passaggio 7. Le informazioni sul certificato generato vengono visualizzate nella pagina Modifica impostazioni proxy HTTPS.
Passaggio 8. (Facoltativo) Fare clic su Download Certificate in modo da poterlo trasferire alle applicazioni client della rete.
Passaggio 9. (Facoltativo) Fare clic sul pulsante Download Certificate Signing Request in modo da poter inviare la richiesta di firma del certificato (CSR) a una CA.
Passaggio 10. (Facoltativo) Caricare il certificato firmato in Secure Web Appliance dopo averlo ricevuto dalla CA. È possibile farlo in qualsiasi momento dopo aver generato il certificato sull'accessorio.
Passaggio 11. Submit e Commit modifiche.
Importa certificato
Importa certificato proxy upstream in SWA
Se SWA è configurato per utilizzare un proxy upstream e il proxy upstream è configurato per la decrittografia HTTPS, è necessario importare il certificato di crittografia del proxy upstream in SWA.
È possibile gestire l'elenco dei certificati attendibili, aggiungervi certificati e rimuoverne i certificati dal punto di vista funzionale.
Passaggio 1. Dalla GUI, selezionare Network e scegliere Certificate Management.
Passaggio 2. Fare clic su Manage Trusted Root Certificates nella pagina Gestione certificati.
Passaggio 3. Per aggiungere un certificato radice attendibile personalizzato con autorità di firma non presente nell'elenco dei certificati riconosciuti da Cisco, fare clic su Import e quindi Inviare il file del certificato.
Passaggio 4. Submit e Commit modifiche.
Importazione di un certificato SWA in un altro SWA
Nel caso in cui siano stati caricati un certificato e una chiave HTTPS in un file SWA per il proxy HTTPS e i file originali siano attualmente accessibili, è possibile importarli in un altro file SWA dal file di configurazione.
Passaggio 1. Dalla GUI di entrambi gli SWA, scegliere System Administration e fare clic su Configuration File.
Passaggio 2. Fare clic su Download sul computer locale per visualizzare o salvare.
Passaggio 3. Scegli Encrypt passwords nei file di configurazione.
Passaggio 4. (Facoltativo) Selezionate Usa nome file definito dall'utente (Use a user-defined file name) e assegnate il nome desiderato al file di configurazione.
Passaggio 5. Fare clic su Invia in Configurazione corrente per scaricare la configurazione .xml file.
Passaggio 6. Aprire i file scaricati con editor di testo o editor XML.
Passaggio 7. Copiare questi tag da SWA con il certificato, copiare tutti i dati all'interno dei tag e sostituirli nel file di configurazione di altri SWA:
....
....
....
....
Passaggio 8. Salva le modifiche in .xml del file SWA di destinazione.
Passaggio 9. Per importare il file .xml del file di configurazione nel file SWA di destinazione, da GUI, scegliere System Administration e fare clic su Configuration File.
Passaggio 10. Nella scheda Load Configuration clic sezione Load a configuration file from local computer.
Passaggio 11. Fare clic su Scegli file e scegliere il file .xml file di configurazione.
Passaggio 12. Fare clic su Load per importare il nuovo file di configurazione con il certificato e la chiave.
Passaggio 13. Commit viene modificato se viene richiesto di specificare il sistema.
Importa certificato SWA nel client Windows
Per importare il certificato proxy HTTPS SWA come attendibile nei computer client con il sistema operativo Microsoft Windows, eseguire la procedura seguente:
Passaggio 1. Fare clic su Start nella barra delle applicazioni e digitare Manage computer certificates.
Passaggio 2. Nella pagina Certificati - Computer locale espandere Trusted Root Certification e fare clic con il pulsante destro del mouse sulla cartella Certificati.
Passaggio 3. Fare clic su All Tasks e scegliere Import.
Passaggio 4. Nella pagina Importazione guidata certificati fare clic su Next.
Passaggio 5. Per importare il file del certificato SWA, fare clic su Browse e scegliere il certificato scaricato da SWA.
Suggerimento: per scaricare il certificato SWA, fare riferimento al punto 8. della sezione "Caricamento di un certificato radice e di una chiave" o "Generazione di un certificato e di una chiave per il proxy HTTPS" di questo documento.
Passaggio 6. Fare clic su Place all certificates in the following .
Passaggio 7. Scegli Trusted Root Certification Authorities e fare clic su Next.
Passaggio 8. Fare clic su Finish.
In alternativa, è possibile utilizzare questo comando per importare il certificato in Trusted Root Certification Authorities.
certutil -addstore -f "ROOT"
Nota: è necessario sostituire
con il percorso e il nome file del certificato attualmente scaricato.
Importa certificato SWA nel client Mac
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA al client Mac OS.
Passaggio 2. Rinomina estensione di file in .crt.
Passaggio 3. Per importare il certificato come certificato attendibile, eseguire questo comando:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
Nota: è necessario sostituirlo con il percorso e il nome file del certificato attualmente scaricato.
Importa certificato SWA in Ubuntu/Debian
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA.
Passaggio 2. Aprire il file del certificato nell'editor di testo e copiare tutto il contenuto.
Passaggio 3. Crea un nuovo file in /usr/local/share/ca-certificates/ con .crt estensione.
Passaggio 4. Modificate il file con l'editor di testo desiderato e salvate il testo copiato nel nuovo file.
Passaggio 5. Eseguire questo comando per aggiornare i certificati nel sistema operativo.
sudo update-ca-certificates
Suggerimento: se il certificato è archiviato localmente nel client, è possibile copiarlo in /usr/local/share/ca-certificates/ ed eseguire sudo update-ca-certificates.
Nota: in alcune versioni è necessario installare il pacchetto ca-certificates con questo comando: sudo apt-get install -y ca-certificates.
Importa certificato SWA in CentOS 6
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA.
Passaggio 2. Aprire il file del certificato nell'editor di testo e copiare tutto il contenuto all'interno del file.
Passaggio 3. Crea un nuovo file in /etc/pki/ca-trust/source/anchors/ con .crt estensione.
Passaggio 4. Modificate il file con l'editor di testo desiderato e salvate il testo copiato nel nuovo file.
Passaggio 5. Installare il pacchetto di certificati CA:
yum install ca-certificates
Passaggio 6. Eseguire questo comando per aggiornare i certificati nel sistema operativo:
update-ca-trust extract
Suggerimento: se il certificato è archiviato localmente nel client, è possibile copiarlo in /etc/pki/ca-trust/source/anchors/ ed eseguire update-ca-trust extract dopo aver installato ca-certificates.
Importa certificato SWA in CentOS 5
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA.
Passaggio 2. Aprire il file del certificato nell'editor di testo e copiare tutto il contenuto all'interno del file.
Passaggio 3. Crea un nuovo file nella cartella corrente con .crt estensione (ad esempio, SWA.crt).
Passaggio 4. Modifica /etc/pki/tls/certs/ca-bundle.crt con l'editor di testo desiderato, incollate il testo copiato alla fine del file e salvate.
Suggerimento: se il certificato è memorizzato localmente sul client (in questo esempio il nome del file è SWA.crt), è possibile aggiungere il certificato con questo comando: cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.
Importazione certificato SWA in Mozilla Firefox
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA.
Passaggio 2. Rinomina il file in .crt.
Passaggio 3. Aprire Firefox e fare clic sul menu (tre barre nell'angolo superiore destro).
Passaggio 4. Scegliere Impostazioni (in alcune versioni è Opzioni).
Passaggio 5. Fare clic su Privacy & Security nel menu a sinistra e scorrere fino a Certificates.
Passaggio 6. Fare clic su View Certificates.
Passaggio 7. Fare clic sul pulsante Authorities , quindi Import.
Passaggio 8. Scegliere il file del certificato e fare clic su Open.
Passaggio 9. Fare clic su OK.
Importa certificato SWA in Google Chrome
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA.
Passaggio 2. Rinomina il file in .crt.
Passaggio 3. Aprire Google Chrome e fare clic Customize and control Google Chrome(tre punti nell'angolo superiore destro).
Passaggio 4. Scegli Settings.
Passaggio 5. Fare clic su Privacy and Security dal menu a sinistra.
Passaggio 6. Scegli Security.
Passaggio 7. Scorri fino a Manage certificates e fare clic sul pulsante a destra.
Passaggio 8. Scegliere il Trusted Root Certification Authorities e fare clic su Import.
Passaggio 9. Scegliere il file del certificato e fare clic su Open.
Passaggio 10. Fare clic su OK.
Nota: se si installa il certificato SWA nel sistema operativo, Google Chrome considera attendibile tale certificato e non è necessario importarlo separatamente nel browser.
Importa certificato SWA in Microsoft Edge/Internet Explorer
Microsoft Edge e Internet Explorer (IE) utilizzano i certificati del sistema operativo. Se si installa il certificato SWA nel sistema operativo, non è necessario importarlo separatamente nel browser.
Importazione certificato SWA in Safari
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA.
Passaggio 2. Rinomina il file in .crt.
Passaggio 3. Nel Launchpad, cercare Keychain Access e fare clic su di esso.
Passaggio 4. Dal File clic del menu Add Keychain.
Passaggio 5. Scegliete il file del certificato SWA e fate clic su Add.
Passaggio 6. Scegli Security.
Passaggio 7. Scorri fino a Manage certificates e fare clic sul pulsante a destra.
Passaggio 8. Scegliere ilTrusted Root Certification Authorities e fare clic su Import.
Passaggio 9. Scegliere il file del certificato e fare clic su Open.
Passaggio 10. Fare clic su OK.
Importa certificato SWA da Criteri di gruppo ai client
Per distribuire i certificati ai computer client tramite Criteri di gruppo da Active Directory, eseguire la procedura seguente:
Passaggio 1. Scaricare il certificato del proxy HTTPS da SWA.
Passaggio 2. Rinomina il file in .crt.
Passaggio 3. Copiare il file del certificato nel controller di dominio.
Passaggio 4. Nel controller di dominio fare clic su start e aprire la Group Policy Management snap-in.
Passaggio 5. Individuare l'oggetto Criteri di gruppo desiderato o creare un nuovo oggetto Criteri di gruppo che contenga il certificato SWA per importarlo nel client.
Passaggio 6. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo e quindi scegliere Edit.
Passaggio 7. Dal menu a sinistra, passare a Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.
Passaggio 8. Fare clic con il pulsante destro del mouse sulla Trusted Root Certification Authoritiese fare clic su Import.
Passaggio 9. Fare clic su Next sul Welcome to the Certificate Import Wizard pagina.
Passaggio 10. Scegliere il file del certificato SWA da importare e fare clic su Next.
Passaggio 11. Fare clic su Place all certificates in the following storee quindi fare clic su Next.
Passaggio 12. Verificare l'accuratezza delle informazioni fornite e fare clic su Finish.
Nota: in alcune condizioni, è necessario riavviare il client o eseguire gpupdate /force per applicare le modifiche nel computer client Active Directory.
Informazioni correlate
Cronologia delle revisioni
| Revisione | Data di pubblicazione | Commenti |
|---|---|---|
1.0 |
23-May-2023 |
Versione iniziale |
Feedback