Gebruik van WSA-certificaat voor HTTPS-decryptie

Downloadopties

  • PDF     (234.6 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (83.5 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (65.7 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:11 juni 2014
Document-id:117792

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document beschrijft het type certificaat dat moet worden gebruikt voor HTTPS-decryptie op een Cisco Web Security Applicatie (WSA).

Overzicht van certificaten

De WSA heeft de mogelijkheid om een geldig certificaat en privésleutel te gebruiken voor gebruik met HTTPS-decryptie. Er kan echter verwarring zijn over het type certificaat dat moet worden gebruikt, omdat niet alle x.509-certificaten werken.

Er zijn twee belangrijke typen certificaten: Servercertificaten en Root-certificaten. Alle x.509-certificaten bevatten een veld Basisbeperkingen, dat het type certificaat identificeert:

  • Onderwerp Type=End-entiteit - Servercertificaat

  • Onderwerptype=CA - basiscertificaat

Opmerking: u moet een basiscertificaat gebruiken, ook aangeduid als een certificaat van de certificeringsinstantie (CA) die het certificaat ondertekent, voor HTTPS-decryptie op de WSA.

Root-certificaten

Een Root-certificaat wordt specifiek aangemaakt om servercertificaten te ondertekenen. U kunt uw eigen CA maken en gebruiken en uw eigen servercertificaten ondertekenen.

Opmerking: aangezien een basiscertificaat alleen andere certificaten ondertekent, kan het niet worden gebruikt op een webserver om HTTPS-encryptie en decryptie uit te voeren.

De WSA moet een Root-certificaat gebruiken om actief servercertificaten voor HTTPS-decryptie te genereren. Er zijn twee opties beschikbaar voor gebruik van het basiscertificaat:

  • Genereer een basiscertificaat op de WSA. De WSA maakt zijn eigen Root-certificaat en privésleutel en gebruikt dit sleutelpaar om servercertificaten te ondertekenen.

  • U kunt een huidig Root-certificaat en de bijbehorende privésleutel uploaden naar de WSA. Het veld Common Name (CN) in een Root-certificaat identificeert de entiteit (meestal een bedrijfsnaam) die alle servercertificaten vertrouwt die zijn handtekening bevatten.

Opmerking: voordat een servercertificaat kan worden vertrouwd, moet het worden ondertekend door een Root-certificaat dat een openbare sleutel heeft die in de webbrowser aanwezig is.

Servercertificaten

Er wordt een servercertificaat aangemaakt dat specifiek moet worden gebruikt voor HTTPS-encryptie en -decryptie en om de authenticiteit van een specifieke server te verifiëren. Servercertificaten worden ondertekend door een CA met gebruik van het CA Root-certificaat. Een veel voorkomend voorbeeld van CA is VeriSign of Thawte.

Opmerking: een servercertificaat kan niet worden gebruikt voor het ondertekenen van andere certificaten. Daarom werkt HTTPS-decryptie niet als er een servercertificaat is geïnstalleerd op de WSA.

Het veld CN in een servercertificaat specificeert de host waarvoor het certificaat is bedoeld. https://www.verisign.com gebruikt bijvoorbeeld een servercertificaat met een CN van www.verisign.com.

Gerelateerde informatie 

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
11-Jun-2014
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Josh Wolfer
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten