Configurar certificado de descriptografia no aplicativo da Web seguro
Contents
Introdução
Este documento descreve as etapas para configurar certificados de criptografia HTTPS em clientes Secure Web Appliances (SWA) e Proxy.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Acesso à interface gráfica do usuário (GUI) do SWA
- Acesso administrativo ao SWA
Componentes Utilizados
Este documento não se restringe a versões de software e hardware específicas.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Descriptografia HTTPS
A descriptografia HTTPS (Hypertext Transfer Protocol Secure) do SWA usa os certificados raiz e os arquivos de chave privada que você carrega no equipamento para criptografar o tráfego. Os arquivos de certificado raiz e de chave privada que você carregar no equipamento devem estar no formato PEM.
Observação: o formato DER não é suportado.
Você também pode carregar um certificado intermediário que uma autoridade de certificação raiz assinou. Quando o SWA imita o certificado do servidor, ele envia o certificado carregado junto com o certificado mimetizado para o aplicativo cliente. Dessa forma, desde que o certificado intermediário seja assinado por uma CA (Certificate Authority, Autoridade de Certificação) raiz na qual o aplicativo cliente confia, o aplicativo também confia no certificado de servidor simulado.
Configurar certificado de descriptografia em SWA
O SWA pode usar um certificado e uma chave privada atuais para uso com a descriptografia HTTPS. No entanto, pode haver confusão sobre o tipo de certificado que deve ser usado, já que nem todos os certificados x.509 funcionam.
Há dois tipos principais de certificados: 'Certificados do servidor'e 'Certificados raiz'. Todos os certificados x.509 contêm um campo Restrições Básicas, que identifica o tipo de certificado:
- Tipo de Requerente=Entidade Final- Certificado do Servidor
- Tipo de Requerente=CA- Certificado raiz
Carregar um Certificado e uma Chave Raiz
Etapa 1. Na GUI, navegue até Security Services e escolher HTTPS Proxy.
Etapa 2. Clique em Edit Settings
Etapa 3. Clique em Usar certificado e chave carregados.
Etapa 4. Clique em Procurar o campo Certificado para navegar até o arquivo de certificado armazenado na máquina local.
Observação: se o arquivo que você carregar contiver vários certificados ou chaves, o Web Proxy usará o primeiro certificado ou chave no arquivo.
Etapa 5. Clique em Browse para o campo Key para navegar para o arquivo de chave privada.
Observação: o comprimento da chave deve ser de 512, 1024 ou 2048 bits.
Etapa 6. Selecione A chave é criptografada se a chave for criptografada.
Passo 7. Clique em Carregar arquivos para transferir os arquivos de certificado e chave para o Secure Web Appliance.
As informações do certificado carregado são exibidas na página Editar configurações de proxy HTTPS.
Etapa 8. (Opcional) Clique em Download Certificate para transferi-lo aos aplicativos cliente na rede.
Etapa 9. Submit e Commit alterações.
Gerar um certificado e uma chave para o proxy HTTPS
Etapa 1. Na GUI, navegue até Security Services e escolher HTTPS Proxy.
Etapa 2. Clique em Edit Settings.
Etapa 3. Escolher Use Generated Certificate and Key.
Etapa 4. Clique em Generate New Certificate and Key.
Etapa 5. No Generate Certificate and Key , insira as informações para exibi-las no certificado raiz.
Você pode inserir qualquer caractere ASCII, exceto a barra (/) no campo Nome comum.
Etapa 6. Clique em Generate.
Passo 7. As informações do certificado gerado são exibidas na página Editar configurações de proxy HTTPS.
Etapa 8. (Opcional) Clique em Download Certificate para que você possa transferi-lo para os aplicativos clientes na rede.
Etapa 9. (Opcional) Clique no botão Download Certificate Signing Request para que você possa enviar a CSR (Certificate Signing Request, solicitação de assinatura de certificado) a uma CA.
Etapa 10. (Opcional) Carregue o certificado assinado para o Secure Web Appliance depois de recebê-lo de volta da CA. Você pode fazer isso a qualquer momento depois de gerar o certificado no equipamento.
Etapa 11. Submit e Commit alterações.
Importar certificado
Importar certificado de proxy de upstream para SWA
Se SWA estiver configurado para usar um proxy de upstream e o proxy de upstream estiver configurado para descriptografia HTTPS, você deverá importar o certificado de criptografia de proxy de upstream para SWA.
Você pode gerenciar a lista de certificados confiáveis, adicionar certificados a ela e remover certificados dela com funcionalidade.
Etapa 1. Na GUI, selecione Network e escolher Certificate Management.
Etapa 2. Clique em Manage Trusted Root Certificates na página Gerenciamento de Certificados.
Etapa 3. Para adicionar um certificado raiz confiável personalizado com autoridade de assinatura, não na lista reconhecida pela Cisco, clique em Import e, em seguida, Enviar o arquivo do certificado.
Etapa 4. Submit e Commit alterações.
Importar certificado SWA para outro SWA
Caso você tenha carregado o certificado e a chave HTTPS em um SWA para o proxy HTTPS e os arquivos originais estejam acessíveis no momento, você pode importá-los para outro SWA a partir do arquivo de configuração.
Etapa 1. Na GUI de ambos os SWAs, selecione System Administration e clique em Configuration File.
Etapa 2. Clique em Download no computador local para exibir ou salvar.
Etapa 3. Escolher Encrypt passwords nos arquivos de configuração.
Etapa 4. (Opcional) Escolha Usar um nome de arquivo definido pelo usuário e atribua o nome desejado ao Arquivo de configuração.
Etapa 5. Clique em Enviar em Current Configuration para baixar a configuração .xml arquivo.
Etapa 6. Abra arquivos baixados com editores de texto ou editores XML.
Passo 7. Copie essas marcas do SWA com o certificado, copie todos os dados dentro das marcas e substitua-os no arquivo de configuração de outro SWA:
....
....
....
....
Etapa 8. Salve as alterações em .xml do SWA de destino.
Etapa 9. Para importar o arquivo editado .xml arquivo de configuração de volta ao SWA de destino, na GUI, escolha System Administration e clique em Configuration File.
Etapa 10. No Load Configuration clique na seção Load a configuration file from local computer.
Etapa 11. Clique em Escolher arquivo e escolha o arquivo .xml Arquivo de configuração.
Etapa 12. Clique em Load para importar o novo arquivo de configuração com o certificado e a chave.
Etapa 13. Commit será alterado se o sistema for solicitado.
Importar certificado SWA no cliente Windows
Para importar o certificado SWA HTTPS Proxy como confiável em computadores cliente com o sistema operacional Microsoft Windows, estas são as etapas:
Etapa 1. Clique em Iniciar na barra de tarefas e digite Manage computer certificates.
Etapa 2. Na página Certificados - Computador local, expanda Trusted Root Certification e clique com o botão direito do mouse na pasta Certificados.
Etapa 3. Clique em All Tasks e escolher Import.
Etapa 4. Na página Assistente para Importação de Certificados, clique em Next.
Etapa 5. Para importar o arquivo de certificado SWA, clique em Browse e escolha o certificado que você baixou do SWA.
Dica: para baixar o certificado SWA, consulte a Etapa 8. na seção 'Carregar um certificado e uma chave raiz' ou 'Gerando um certificado e uma chave para o proxy HTTPS' neste documento.
Etapa 6. Clique em Place all certificates in the following caixa de seleção.
Passo 7. Escolher Trusted Root Certification Authorities e clique em Next.
Etapa 8. Clique em Finish.
Como alternativa, você pode usar esse comando para importar o certificado para Trusted Root Certification Authorities.
certutil -addstore -f "ROOT"
Observação: você deve substituir
com o caminho e o nome do arquivo do certificado baixado no momento.
Importar certificado SWA no cliente Mac
Etapa 1. Baixe o certificado do proxy HTTPS do SWA para o cliente Mac OS.
Etapa 2. Renomear a extensão de arquivo para .crt.
Etapa 3. Execute este comando para importar o certificado como um certificado confiável:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
Observação: você deve substituí-lo pelo caminho do certificado e nome do arquivo baixados no momento.
Importar certificado SWA no Ubuntu/Debian
Etapa 1. Baixe o certificado do proxy HTTPS do SWA.
Etapa 2. Abra o arquivo do certificado no editor de texto e copie todo o conteúdo.
Etapa 3. Crie um novo arquivo em /usr/local/share/ca-certificates/ com .crt uma extensão.
Etapa 4. Edite o arquivo com o editor de texto desejado e o texto copiado anteriormente no novo arquivo e salve-o.
Etapa 5. Execute este comando para atualizar certificados no sistema operacional.
sudo update-ca-certificates
Dica: se o certificado estiver armazenado localmente no cliente, você poderá copiá-lo para /usr/local/share/ca-certificates/ e executar sudo update-ca-certificates.
Observação: em algumas versões, você deve instalar o pacote ca-certificates com este comando: sudo apt-get install -y ca-certificates.
Importar certificado SWA no CentOS 6
Etapa 1. Baixe o certificado do proxy HTTPS do SWA.
Etapa 2. Abra o arquivo de certificado no editor de texto e copie todo o conteúdo dentro do arquivo.
Etapa 3. Crie um novo arquivo em /etc/pki/ca-trust/source/anchors/ com .crt extensão.
Etapa 4. Edite o arquivo com o editor de texto desejado e o texto copiado anteriormente no novo arquivo e salve-o.
Etapa 5. Instalar o pacote de certificados de autoridade de certificação:
yum install ca-certificates
Etapa 6. Execute este comando para atualizar certificados no sistema operacional:
update-ca-trust extract
Dica: se o certificado estiver armazenado localmente no cliente, você poderá copiá-lo para /etc/pki/ca-trust/source/anchors/ e executar update-ca-trust extract depois de instalar o ca-certificates.
Importar certificado SWA no CentOS 5
Etapa 1. Baixe o certificado do proxy HTTPS do SWA.
Etapa 2. Abra o arquivo de certificado no editor de texto e copie todo o conteúdo dentro do arquivo.
Etapa 3. Criar um novo arquivo na pasta atual com .crt extensão (por exemplo, SWA.crt).
Etapa 4. Edite o /etc/pki/tls/certs/ca-bundle.crt com o editor de texto desejado, cole o texto copiado no final do arquivo e salve.
Dica: se você tiver o certificado armazenado localmente no cliente (neste exemplo, o nome do arquivo é SWA.crt), você pode anexar o certificado com este comando: cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.
Importar certificado SWA no Mozilla Firefox
Etapa 1. Baixe o certificado do proxy HTTPS do SWA.
Etapa 2. Renomear o arquivo para .crt.
Etapa 3. Abra o Firefox e clique no menu (três barras no canto superior direito).
Etapa 4. Selecione Configurações (em algumas versões, é Opções).
Etapa 5. Clique em Privacy & Security no menu do lado esquerdo e vá até Certificates.
Etapa 6. Clique em View Certificates.
Passo 7. Clique no botão Authorities e depois Import.
Etapa 8. Escolha o arquivo de certificado e clique em Open.
Etapa 9. Clique em OK.
Importar certificado SWA no Google Chrome
Etapa 1. Baixe o certificado do proxy HTTPS do SWA.
Etapa 2. Renomear o arquivo para .crt.
Etapa 3. Abra o Google Chrome e clique em Customize and control Google Chrome(três pontos no canto superior direito).
Etapa 4. Escolher Settings.
Etapa 5. Clique em Privacy and Security no menu do lado esquerdo.
Etapa 6. Escolher Security.
Passo 7. Rolar para Manage certificates e clique no botão à direita.
Etapa 8. Escolha o Trusted Root Certification Authorities e clique em Import.
Etapa 9. Escolha o arquivo de certificado e clique em Open.
Etapa 10. Clique em OK.
Observação: se você instalar o certificado SWA no sistema operacional, o Google Chrome confia nesse certificado e não há necessidade de importar o certificado separadamente para o seu navegador.
Importar certificado SWA no Microsoft Edge/Internet Explorer
O Microsoft Edge e o Internet Explorer (IE) usam certificados do sistema operacional. Se você instalar o certificado SWA no sistema operacional, não há necessidade de importar o certificado separadamente para o seu navegador.
Importar certificado SWA no Safari
Etapa 1. Baixe o certificado do proxy HTTPS do SWA.
Etapa 2. Renomear o arquivo para .crt.
Etapa 3. Na Barra Inicial, procure Keychain Access e clique nele.
Etapa 4. Nos File clique no menu Add Keychain.
Etapa 5. Escolha o arquivo do certificado SWA e clique em Add.
Etapa 6. Escolher Security.
Passo 7. Rolar para Manage certificates e clique no botão à direita.
Etapa 8. Escolha oTrusted Root Certification Authorities e clique em Import.
Etapa 9. Escolha o arquivo de certificado e clique em Open.
Etapa 10. Clique em OK.
Importar certificado SWA da política de grupo para clientes
Para distribuir certificados aos computadores clientes pela Diretiva de Grupo do Ative Diretory, siga estas etapas:
Etapa 1. Baixe o certificado do proxy HTTPS do SWA.
Etapa 2. Renomear o arquivo para .crt.
Etapa 3. Copie o arquivo de certificado para o controlador de domínio.
Etapa 4. No controlador de domínio, clique em start e abrir a Group Policy Management snap-in.
Etapa 5. Localize o Objeto de Diretiva de Grupo (GPO) desejado ou crie um novo GPO para conter o certificado SWA para importá-lo para o cliente.
Etapa 6. Clique com o botão direito do mouse no GPO e clique em Edit.
Passo 7. No menu à esquerda, navegue até Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.
Etapa 8. Clique com o botão direito do mouse no Trusted Root Certification Authoritiese clique em Import.
Etapa 9. Clique em Next no Welcome to the Certificate Import Wizard
Etapa 10. Escolha o arquivo do certificado SWA para importar e clique em Next.
Etapa 11. Clique em Place all certificates in the following storee clique em Next.
Etapa 12. Verifique se as informações fornecidas estão corretas e clique em Finish.
Observação: em algumas condições, você deve reiniciar o cliente ou executar gpupdate /force para aplicar as alterações na máquina cliente do Ative Diretory.
Informações Relacionadas
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
23-May-2023 |
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)