Configureren van decryptie-certificaat in beveiligde web applicatie
Inhoud
Inleiding
Dit document beschrijft de stappen om HTTPS-coderingscertificaten te configureren in beveiligde webapplicaties (SWA) en proxyclients.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Toegang tot de grafische gebruikersinterface (GUI) van SWA
- Administratieve toegang tot de SWA
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
HTTPS-decryptie
De Secure (HTTPS)-decryptie van het SWA Hypertext Transfer Protocol gebruikt de basiscertificaten en privé-sleutelbestanden die u naar het apparaat uploadt om verkeer te versleutelen. Het basiscertificaat en de persoonlijke sleutelbestanden die u naar het apparaat uploadt, moeten in PEM-indeling zijn.
Opmerking: de DER-indeling wordt niet ondersteund.
U kunt ook een tussenliggend certificaat uploaden dat door een basiscertificeringsinstantie is ondertekend. Wanneer de SWA het servercertificaat nabootst, stuurt het het geüploade certificaat samen met het nagebootste certificaat naar de clienttoepassing. Zo lang het tussenliggende certificaat wordt ondertekend door een root Certificate Authority (CA) die de client-applicatie vertrouwt, de applicatie ook het nagebootste servercertificaat.
Configuratie van decryptie Certificaat in SWA
De SWA heeft de mogelijkheid om een geldig certificaat en privésleutel te gebruiken voor gebruik met HTTPS-decryptie. Er kan echter verwarring zijn over het type certificaat dat moet worden gebruikt, omdat niet alle x.509-certificaten werken.
Er zijn twee belangrijke soorten certificaten: 'servercertificaten' en 'basiscertificaten'. Alle x.509-certificaten bevatten een veld Basisbeperkingen, dat het type certificaat identificeert:
- Onderwerp Type=End Entity- Server certificaat
- Onderwerptype=CA- basiscertificaat
Een basiscertificaat en -sleutel uploaden
Stap 1. Van GUI navigeer naar Security Services en kiezen HTTPS Proxy.
Stap 2. Klik op de knop Edit Settings
Stap 3. Klik op Geüploade certificaat en sleutel gebruiken.
Stap 4. Klik op Bladeren in het veld Certificaat om naar het certificaatbestand te navigeren dat op de lokale machine is opgeslagen.
Opmerking: als het bestand dat u uploadt meerdere certificaten of sleutels bevat, gebruikt de webproxy het eerste certificaat of de eerste sleutel in het bestand.
Stap 5. Klik op Bladeren in het veld Sleutel om naar het privé-sleutelbestand te navigeren.
Opmerking: de sleutellengte moet 512, 1024 of 2048 bits zijn.
Stap 6. Selecteer de toets wordt versleuteld als de toets wordt versleuteld.
Stap 7. Klik op Upload Files om het certificaat en de sleutelbestanden naar de Secure Web applicatie over te brengen.
De geüploade certificaatinformatie wordt weergegeven op de pagina HTTPS Proxy-instellingen bewerken.
Stap 8. (Optioneel) Klik op Certificaat downloaden om het over te dragen naar de clienttoepassingen op het netwerk.
Stap 9. Submit en Commit wijzigingen.
Een certificaat en sleutel voor de HTTPS-proxy genereren
Stap 1. Van GUI navigeer naar Security Services en kiezen HTTPS Proxy.
Stap 2. Klik op de knop Edit Settings.
Stap 3. Kiezen Use Generated Certificate and Key.
Stap 4. Klik op de knop Generate New Certificate and Key.
Stap 5. In het Generate Certificate and Key Typ de informatie om deze in het basiscertificaat weer te geven.
U kunt elk ASCII-teken invoeren, behalve de voorwaartse schuine streep (/) in het veld Algemene naam.
Stap 6. Klik op de knop Generate.
Stap 7. De gegenereerde certificaatinformatie wordt weergegeven op de pagina HTTPS Proxy-instellingen bewerken.
Stap 8. (optioneel) Klik op Download Certificate zodat u het kunt overbrengen naar de clienttoepassingen op het netwerk.
Stap 9. (optioneel) Klik op de Download Certificate Signing Request link, zodat u de aanvraag voor certificaatondertekening (CSR) kunt indienen bij een CA.
Stap 10. (Optioneel) Upload het ondertekende certificaat naar de Secure Web Applicatie nadat u het hebt terugontvangen van de CA. U kunt dit op elk moment doen nadat u het certificaat op het apparaat hebt gegenereerd.
Stap 11. Submit en Commit wijzigingen.
Invoercertificaat
Upstream proxycertificaat importeren naar SWA
Als SWA is geconfigureerd om een upstream proxy te gebruiken en de upstream proxy is geconfigureerd voor HTTPS-decryptie, moet u het upstream proxy-encryptie certificaat importeren naar SWA.
U kunt de vertrouwde certificaatlijst beheren, certificaten toevoegen en certificaten functioneel verwijderen uit deze lijst.
Stap 1. Kies uit GUI Network en kiezen Certificate Management.
Stap 2. Klik op de knop Manage Trusted Root Certificates op de pagina Certificaatbeheer.
Stap 3. Als u een aangepast vertrouwd basiscertificaat met ondertekeningsbevoegdheid wilt toevoegen, niet in de door Cisco herkende lijst, klikt u op Import en dien vervolgens het certificaatbestand in.
Stap 4. Submit en Commit wijzigingen.
SWA-certificaat importeren in een andere SWA
Indien u een HTTPS-certificaat en sleutel in één SWA voor HTTPS Proxy hebt geüpload en de oorspronkelijke bestanden op dit moment toegankelijk zijn, kunt u deze importeren naar een andere SWA uit het configuratiebestand.
Stap 1. Kies uit de GUI van beide SWA’s System Administration en klik op Configuration File.
Stap 2. Klik op de knop Download bestand op de lokale computer om het te bekijken of opslaan.
Stap 3. Kiezen Encrypt passwords in de configuratiebestanden.
Stap 4. (Optioneel) Kies Gebruik een door de gebruiker ingestelde bestandsnaam en geef de gewenste naam aan het configuratiebestand.
Stap 5. Klik op Indienen onder Huidige configuratie om de configuratie te downloaden .xml bestand.
Stap 6. Open gedownloade bestanden met tekst redacteuren of XML editors.
Stap 7. Kopieer deze tags van SWA met het certificaat, kopieer alle gegevens in de tags en vervang ze in het configuratiebestand van andere SWA:
....
....
....
....
Stap 8. De wijzigingen opslaan in .xml bestand van de bestemmingsSWA.
Stap 9. Om de bewerkte tekst te importeren .xml terug naar de bestemming SWA, van GUI, kies System Administration en klik op Configuration File.
Stap 10. In het Load Configuration sectieklik Load a configuration file from local computer.
Stap 11. Klik op Bestand kiezen en kies de bewerkte tekst .xml configuratiebestand.
Stap 12. Klik op de knop Load om het nieuwe configuratiebestand met het certificaat en de sleutel te importeren.
Stap 13. Commit wijzigingen als om het systeem wordt gevraagd.
SWA-certificaat importeren in Windows-client
Om het SWA HTTPS Proxy-certificaat als vertrouwd op clientcomputers met het Microsoft Windows-besturingssysteem te importeren, volgt u de volgende stappen:
Stap 1. Klik op Start op de taakbalk en typ Manage computer certificates.
Stap 2. Op de pagina Certificaten-Local Computer vouwt u zich uit Trusted Root Certification en klik met de rechtermuisknop op de map Certificaten.
Stap 3. Klik op de knop All Tasks en kiezen Import.
Stap 4. Klik op de pagina Wizard Certificaat importeren op Next.
Stap 5. Om het SWA-certificaatbestand te importeren, klikt u op Browse en kies het certificaat dat u hebt gedownload van SWA.
Tip: Raadpleeg stap 8 voor het downloaden van het SWA-certificaat. in de sectie 'Een basiscertificaat en sleutel uploaden' of 'Een certificaat en sleutel genereren voor de HTTPS-proxy' in dit document.
Stap 6. Klik op de knop Place all certificates in the following vink het vakje aan.
Stap 7. Kiezen Trusted Root Certification Authorities en klik op Next.
Stap 8. Klik op de knop Finish.
U kunt deze opdracht ook gebruiken om het certificaat te importeren op Trusted Root Certification Authorities.
certutil -addstore -f "ROOT"
Opmerking: u moet
met uw huidige gedownloade certificaatpad en bestandsnaam.
SWA-certificaat importeren in Mac-client
Stap 1. Download het HTTPS Proxy certificaat van SWA naar de Mac OS client.
Stap 2. Hernoemen de bestandsextensie naar .crt.
Stap 3. Voer deze opdracht uit om het certificaat te importeren als een vertrouwd certificaat:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
Opmerking: u moet deze vervangen door het huidige gedownloade certificaatpad en de bestandsnaam.
SWA-certificaat importeren in Ubuntu/Debian
Stap 1. Download het HTTPS Proxy certificaat van SWA.
Stap 2. Open het certificaatbestand in de teksteditor en kopieer alle inhoud.
Stap 3. Een nieuw bestand maken in /usr/local/share/ca-certificates/ met .crt een verlenging.
Stap 4. Bewerk het bestand met de gewenste teksteditor en de gekopieerde tekst uit het verleden in het nieuwe bestand en sla deze op.
Stap 5. Voer deze opdracht uit om certificaten in het besturingssysteem te vernieuwen.
sudo update-ca-certificates
Tip: Als het certificaat lokaal op de client is opgeslagen, kunt u het certificaat kopiëren naar /usr/local/share/ca-certificates/ en rennen sudo update-ca-certificates.
Opmerking: in sommige versies moet u het pakket ca-certificaten installeren met deze opdracht: sudo apt-get install -y ca-certificates.
SWA-certificaat importeren in CentOS 6
Stap 1. Download het HTTPS Proxy certificaat van SWA.
Stap 2. Open het certificaatbestand in de teksteditor en kopieer alle inhoud in het bestand.
Stap 3. Een nieuw bestand maken in /etc/pki/ca-trust/source/anchors/ met .crt verlenging.
Stap 4. Bewerk het bestand met de gewenste teksteditor en de gekopieerde tekst uit het verleden in het nieuwe bestand en sla deze op.
Stap 5. Installeer het pakket ca-certificaten:
yum install ca-certificates
Stap 6. Voer deze opdracht uit om certificaten te vernieuwen in het besturingssysteem:
update-ca-trust extract
Tip: Als het certificaat lokaal op de client is opgeslagen, kunt u het certificaat kopiëren naar /etc/pki/ca-trust/source/anchors/ en rennen update-ca-trust extract nadat u de ca-certificates.
SWA-certificaat importeren in CentOS 5
Stap 1. Download het HTTPS Proxy certificaat van SWA.
Stap 2. Open het certificaatbestand in de teksteditor en kopieer alle inhoud in het bestand.
Stap 3. Een nieuw bestand in de huidige map maken met .crt uitbreiding (bijvoorbeeld SWA.crt).
Stap 4. Het bestand bewerken /etc/pki/tls/certs/ca-bundle.crt plak de gekopieerde tekst aan het einde van het bestand en sla deze op met de gewenste teksteditor.
Tip: Als het certificaat lokaal op de client is opgeslagen (in dit voorbeeld is de bestandsnaam SWA.crt), kunt u het certificaat met deze opdracht toevoegen: cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.
SWA-certificaat importeren in Mozilla Firefox
Stap 1. Download het HTTPS Proxy certificaat van SWA.
Stap 2. Hernoemen van het bestand naar .crt.
Stap 3. Open Firefox en klik op het menu (drie balken in de rechterbovenhoek).
Stap 4. Kies Instellingen (in sommige versies gaat het om Opties).
Stap 5. Klik op de knop Privacy & Security in het menu aan de linkerkant en blader naar Certificates.
Stap 6. Klik op de knop View Certificates.
Stap 7. Klik op de Authorities tabblad en vervolgens Import.
Stap 8. Kies het certificaatbestand en klik op Open.
Stap 9. Klik op de knop OK.
SWA Certificaat importeren in Google Chrome
Stap 1. Download het HTTPS Proxy certificaat van SWA.
Stap 2. Hernoemen van het bestand naar .crt.
Stap 3. Open Google Chrome en klik op Customize and control Google Chrome(drie punten in de rechterbovenhoek).
Stap 4. Kiezen Settings.
Stap 5. Klik op de knop Privacy and Security in het linkermenu.
Stap 6. Kiezen Security.
Stap 7. Naar boven Manage certificates en klik op de knop rechts.
Stap 8. Kies de Trusted Root Certification Authorities tabblad en klik Import.
Stap 9. Kies het certificaatbestand en klik op Open.
Stap 10. Klik op de knop OK.
Opmerking: als u het SWA-certificaat in het besturingssysteem installeert, vertrouwt Google Chrome dat certificaat en hoeft het certificaat niet afzonderlijk in uw browser te worden geïmporteerd.
SWA-certificaat importeren in Microsoft Edge/Internet Explorer
Microsoft Edge en Internet Explorer (IE) gebruiken besturingssysteemcertificaten. Als u het SWA-certificaat in het besturingssysteem installeert, hoeft u het certificaat niet afzonderlijk in uw browser te importeren.
SWA Certificaat importeren in Safari
Stap 1. Download het HTTPS Proxy certificaat van SWA.
Stap 2. Hernoemen van het bestand naar .crt.
Stap 3. Zoek in het Launchpad Keychain Access en klik erop.
Stap 4. Van de File menu klik Add Keychain.
Stap 5. Kies het SWA-certificaatbestand en klik op Add.
Stap 6. Kiezen Security.
Stap 7. Naar boven Manage certificates en klik op de knop rechts.
Stap 8. Kies deTrusted Root Certification Authorities tabblad en klik Import.
Stap 9. Kies het certificaatbestand en klik op Open.
Stap 10. Klik op de knop OK.
SWA-certificaat importeren van groepsbeleid naar clients
Gebruik deze stappen om certificaten te distribueren naar de clientcomputers per groepsbeleid vanuit Active Directory:
Stap 1. Download het HTTPS Proxy certificaat van SWA.
Stap 2. Hernoemen van het bestand naar .crt.
Stap 3. Kopieer het certificaatbestand naar uw domeincontroller.
Stap 4. Klik op de domeincontroller start en opent de Group Policy Management snap-in.
Stap 5. Vind het gewenste Group Policy Object (GPO) of maak een nieuwe GPO om het SWA-certificaat te bevatten om het te importeren naar de client.
Stap 6. Klik met de rechtermuisknop op de GPO en klik vervolgens op Edit.
Stap 7. Navigeer vanuit het menu aan de linkerkant naar Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.
Stap 8. Klik met de rechtermuisknop op het Trusted Root Certification Authoritiesen klik op Import.
Stap 9. Klik op de knop Next op het Welcome to the Certificate Import Wizard pagina.
Stap 10. Kies het SWA-certificaatbestand om te importeren en klik op Next.
Stap 11. Klik op de knop Place all certificates in the following storeen klik vervolgens op Next.
Stap 12. Controleer of de verstrekte informatie juist is en klik op Finish.
Opmerking: in bepaalde omstandigheden moet u de client opnieuw opstarten of uitvoeren gpupdate /force om de wijzigingen toe te passen op het clientsysteem van Active Directory.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
23-May-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)