Utilizzo certificato WSA per decrittografia HTTPS

Opzioni per il download

  • PDF     (234.0 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (83.3 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (65.5 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:11 giugno 2014
ID documento:117792

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto il tipo di certificato da utilizzare per la decrittografia HTTPS in un Cisco Web Security Appliance (WSA).

Panoramica certificato

WSA può utilizzare un certificato e una chiave privata correnti per la decrittografia HTTPS. Tuttavia, potrebbe esserci confusione sul tipo di certificato da utilizzare, poiché non tutti i certificati x.509 funzionano.

Esistono due tipi principali di certificati: certificati server e certificati radice. Tutti i certificati x.509 contengono un campo Vincoli di base che identifica il tipo di certificato:

  • Subject Type=Entità finale - Certificato server

  • Subject Type=CA - Certificato radice

Nota: per la decrittografia HTTPS sul WSA, è necessario utilizzare un certificato radice, denominato anche certificato di firma dell'Autorità di certificazione (CA).

Certificati radice

Per firmare i certificati del server viene creato un certificato radice. È possibile creare e utilizzare la propria CA e firmare i propri certificati server.

Nota: poiché un certificato radice firma solo altri certificati, non può essere utilizzato su un server Web per eseguire la crittografia e la decrittografia HTTPS.

Per generare attivamente certificati server per la decrittografia HTTPS, WSA deve utilizzare un certificato radice. Per l'utilizzo del certificato radice sono disponibili due opzioni:

  • Generare un certificato radice sul server WSA. WSA crea il proprio certificato radice e la propria chiave privata e utilizza questa coppia di chiavi per firmare i certificati del server.

  • È possibile caricare un certificato radice corrente e la relativa chiave privata nel WSA. Il campo Nome comune (CN) in un certificato radice identifica l'entità, in genere un nome di società, che considera attendibili tutti i certificati server contenenti la relativa firma.

Nota: prima di poter considerare attendibile un certificato server, è necessario che sia firmato da un certificato radice con una chiave pubblica presente nel browser Web.

Certificati server

Un certificato server viene creato specificamente per essere utilizzato nella crittografia e decrittografia HTTPS e per verificare l'autenticità di un server specifico. I certificati del server sono firmati da una CA che utilizza il certificato radice CA. Un esempio comune di CA è VeriSign o Thawte.

Nota: non è possibile utilizzare un certificato server per firmare altri certificati. Pertanto, la decrittografia HTTPS non funziona se un certificato server è installato nel WSA.

Il campo CN in un certificato server specifica l'host per il quale si desidera utilizzare il certificato. Ad esempio, https://www.verisign.com utilizza un certificato Server con un CN di www.verisign.com.

Informazioni correlate 

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
11-Jun-2014
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Josh Wolfer
    Cisco TAC Engineer.

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti