简介
本文档介绍在思科网络安全设备(WSA)上应用于HTTPS解密的证书类型。
证书概述
WSA能够使用当前证书和私钥进行HTTPS解密。但是,由于并非所有x.509证书都起作用,因此可能会混淆应使用的证书类型。
证书有两种主要类型:服务器证书和根证书。所有x.509证书都包含Basic Constraints字段,该字段标识证书类型:
- Subject Type=End Entity -服务器证书
- Subject Type=CA -根证书
注意:您必须使用根证书(也称为证书颁发机构(CA)签名证书)对WSA进行HTTPS解密。
根证书
根证书专门用于签署服务器证书。您可以创建并运行自己的CA并签署自己的服务器证书。
注意:由于根证书只签署其他证书,因此不能在Web服务器上使用它来执行HTTPS加密和解密。
WSA必须使用根证书以主动生成用于HTTPS解密的服务器证书。根证书的使用有两个可用选项:
- 在WSA上生成根证书。WSA创建自己的根证书和私钥,它使用此密钥对来签署服务器证书。
- 您可以将当前根证书及其私钥上传到WSA。根证书中的公用名(CN)字段标识信任包含其签名的所有服务器证书的实体(通常是公司名称)。
注意:服务器证书必须由Web浏览器中带有公钥的根证书签署,然后才能受信任。
服务器证书
服务器证书专门用于进行HTTPS加密和解密,以及验证特定服务器的真实性。服务器证书由CA使用CA根证书进行签名。CA的一个常见示例是VeriSign或Thawte。
注意:服务器证书不能用于签署其他证书;因此,如果WSA上安装服务器证书,则HTTPS解密不起作用。
服务器证书中的CN字段指定使用证书的主机。例如,https://www.verisign.com使用CN为www.verisign.com的服务器证书。
相关信息
反馈