在安全Web裝置中配置解密證書

簡介

本檔案介紹在安全Web裝置(SWA)和代理使用者端中設定HTTPS加密憑證的步驟。

必要條件

需求

思科建議您瞭解以下主題：

• 訪問SWA的圖形使用者介面(GUI)

• 對SWA的管理訪問

採用元件

本文件所述內容不限於特定軟體和硬體版本。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

HTTPS解密

SWA超文本傳輸協定安全(HTTPS)解密使用您上傳到裝置的根證書和私鑰檔案來加密流量。上傳到裝置的根證書和私鑰檔案必須是PEM格式。

您還可以上傳根憑證授權機構簽名的中間憑證。當SWA模擬伺服器證書時，它將上載的證書與模擬的證書一起傳送到客戶端應用程式。這樣，只要中間證書由客戶端應用程式信任的根證書頒發機構(CA)簽署，應用程式也信任偽裝的伺服器證書。

在SWA中配置解密證書

SWA能夠使用當前證書和私鑰進行HTTPS解密。但是，可能會混淆必須使用的證書型別，因為並非所有x.509證書都起作用。

有兩種主要證書型別：「服務器證書」和「根證書」。所有x.509證書都包含Basic Constraints欄位，該欄位標識證書型別：

• Subject Type=End Entity — 伺服器證書
• Subject Type=CA — 根證書

上傳根憑證和金鑰

步驟 1. 從GUI導航至 Security Services 選擇 HTTPS Proxy.
步驟 2.按一下 Edit Settings.
步驟 3.按一下「Use Uploaded Certificate and Key」。
步驟 4.按一下Browse以瀏覽Certificate欄位以導航到儲存在本地電腦上的證書檔案。

步驟 5.按一下Key（金鑰）欄位的Browse（瀏覽）以導航到私鑰檔案。

步驟 6.如果金鑰已加密，請選擇Key is Encrypted。
步驟 7.按一下Upload Files以將證書和金鑰檔案傳輸到Secure Web Appliance。
上傳的證書資訊顯示在「編輯HTTPS代理設定」頁面上。
步驟8.（可選）按一下Download Certificate，將其傳送到網路上的使用者端應用程式。

步驟 9. Submit 和 Commit 更改。

為HTTPS代理生成證書和金鑰

步驟 1. 從GUI導航至 Security Services 選擇 HTTPS Proxy.
步驟 2.按一下 Edit Settings.
步驟 3.選擇 Use Generated Certificate and Key.
步驟 4.按一下 Generate New Certificate and Key.
步驟 5.在 Generate Certificate and Key 對話方塊中，輸入資訊，以便在根證書中顯示該資訊。
您可以在「公用名」欄位中輸入除正斜槓(/)之外的任何ASCII字元。
步驟 6.按一下 Generate.
步驟 7.生成的證書資訊顯示在「編輯HTTPS代理設定」頁面上。
步驟8.（可選）按一下 Download Certificate 以便將其傳輸到網路上的客戶端應用程式。
步驟9。（可選）按一下 Download Certificate Signing Request 連結，以便您可以向CA提交證書簽名請求(CSR)。
步驟10。（可選）將簽名的證書從CA接收回後，將其上傳到Secure Web Appliance。您可以在裝置上生成證書後隨時執行此操作。
步驟 11. Submit 和 Commit 更改。

匯入證書

將上游代理證書匯入到SWA

如果SWA配置為使用上游代理，並且上游代理配置為進行HTTPS解密，則必須將上游代理加密證書匯入到SWA。

您可以管理受信任的證書清單，向其中新增證書並從其中以功能方式刪除證書。

步驟 1.在GUI中選擇 Network 選擇 Certificate Management.
步驟 2.按一下 Manage Trusted Root Certificates 在Certificate Management頁面上。
步驟 3.若要新增具有簽名授權而非思科識別清單上的自定義受信任根證書，請按一下 Import 然後提交證書檔案。

步驟 4. Submit 和 Commit 更改。

將SWA證書匯入到其他SWA

如果您已經在一個HTTPS代理的SWA中上載了HTTPS證書和金鑰，且此時可以訪問原始檔案，則可以從配置檔案將其匯入到另一個SWA。

步驟 1.從兩個SWA的GUI中選擇 System Administration 然後按一下 Configuration File.

步驟 2. 按一下 Download 本地電腦上的檔案，以便檢視或儲存。

步驟 3. 選擇 Encrypt passwords 配置檔案的檔案。

步驟4.（可選）選擇使用使用者定義的檔名並為配置檔案指定所需的名稱。

步驟 5.點選下方的「提交」(Submit) 當前配置，以便下載配置 .xml 檔案。

步驟 6.使用文本編輯器或XML編輯器開啟下載的檔案。

步驟 7.使用證書從SWA複製這些標籤，複製標籤內的所有資料，並將它們替換在其他SWA的配置檔案中：

    
    
      .... 
    

    
    
      .... 
    

    
    
      .... 
     
       .... 
      
    

步驟 8.將更改儲存在 .xml  目標SWA的檔案。

步驟 9.若要匯入已編輯的 .xml 配置檔案返回目標SWA，在GUI中選擇 System Administration 然後按一下 Configuration File.

步驟 10.在 Load Configuration 部分按一下 Load a configuration file from local computer.

步驟 11.按一下「選擇檔案」並選擇已編輯的檔案 .xml 配置檔案。

步驟 12.按一下 Load 以便使用憑證和金鑰匯入新的組態檔。

步驟 13. Commit 如果系統提示更改。

在Windows客戶端中匯入SWA證書 

要在Microsoft Windows作業系統的客戶端電腦中匯入SWA HTTPS代理證書，請執行以下步驟：

步驟 1.按一下工作列中的「開始」並鍵入 Manage computer certificates.
步驟 2.在Certificates-Local Computer頁面上，展開 Trusted Root Certification 並按一下右鍵Certificates資料夾。
步驟 3.按一下 All Tasks 選擇 Import.
步驟 4.在「證書匯入嚮導」頁面中，按一下 Next.
步驟 5.要匯入SWA證書檔案，請按一下 Browse 並選擇您從SWA下載的證書。

步驟 6.按一下 Place all certificates in the following 覈取方塊。
步驟 7.選擇 Trusted Root Certification Authorities 然後按一下 Next.
步驟 8.按一下 Finish.

或者，您可以使用此命令將憑證匯入到 Trusted Root Certification Authorities.

certutil -addstore -f "ROOT" 
    
    

在Mac客戶端中匯入SWA證書

步驟 1.將HTTPS代理證書從SWA下載到Mac OS客戶端。

步驟 2.將副檔名重新命名為 .crt.

步驟 3.運行以下命令以將證書匯入為受信任證書：

sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain 
    
    

注意：必須將其替換為當前下載的證書路徑和檔名。

在Ubuntu/Debian中匯入SWA證書

步驟 1.從SWA下載HTTPS代理證書。

步驟 2. 在文本編輯器中開啟證書檔案並複製所有內容。

步驟 3. 在中建立新檔案 /usr/local/share/ca-certificates/  與 .crt 分機。

步驟 4.使用所需的文本編輯器編輯檔案，並將過去複製的文本儲存到新檔案中，然後儲存。

步驟 5. 運行此命令可刷新作業系統中的證書。

sudo update-ca-certificates

提示：如果您在客戶端本地儲存了證書，則可以將證書複製到 /usr/local/share/ca-certificates/ 並運行 sudo update-ca-certificates.

注意：在某些版本中，必須使用以下命令安裝ca-certificates軟體包： sudo apt-get install -y ca-certificates.

在CentOS 6中匯入SWA證書

步驟 1.從SWA下載HTTPS代理證書。

步驟 2. 在文本編輯器中開啟證書檔案並複製檔案中的所有內容。

步驟 3. 在中建立新檔案 /etc/pki/ca-trust/source/anchors/  與 .crt 分機。

步驟 4.使用所需的文本編輯器編輯檔案，並將過去複製的文本儲存到新檔案中，然後儲存。

步驟 5.安裝ca-certificates程式包：

yum install ca-certificates

步驟 6. 運行以下命令以刷新作業系統中的證書：

update-ca-trust extract

提示：如果您在客戶端本地儲存了證書，則可以將證書複製到 /etc/pki/ca-trust/source/anchors/ 並運行 update-ca-trust extract 安裝之後 ca-certificates.

在CentOS 5中匯入SWA證書

步驟 1.從SWA下載HTTPS代理證書。

步驟 2. 在文本編輯器中開啟證書檔案並複製檔案中的所有內容。

步驟 3. 在當前資料夾中建立新檔案 .crt 副檔名(例如， SWA.crt)。

步驟 4.編輯 /etc/pki/tls/certs/ca-bundle.crt 使用所需的文本編輯器，將複製的文本貼上到檔案的末尾，然後儲存。

提示：如果您在客戶端本地儲存了證書(在本示例中，檔名是 SWA.crt)，您可以使用以下命令追加證書： cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.

在Mozilla Firefox中匯入SWA證書

步驟 1.從SWA下載HTTPS代理證書。

步驟 2. 將檔案重新命名為 .crt.

步驟 3. 開啟Firefox並按一下選單（右上角有三個條）。 

步驟 4.選擇「設定」（在某些版本中為「選項」）。

步驟 5.按一下 Privacy & Security 在左側選單中，滾動到 Certificates.

步驟 6. 按一下 View Certificates.

步驟 7. 按一下 Authorities 頁籤，然後 Import.

步驟 8.選擇證書檔案並按一下 Open.

步驟 9.按一下 OK.

在Google Chrome中匯入SWA證書

步驟 1.從SWA下載HTTPS代理證書。

步驟 2. 將檔案重新命名為 .crt.

步驟 3. 開啟Google Chrome並按一下 Customize and control Google Chrome（右上角三個點）。

步驟 4.選擇 Settings.

步驟 5.按一下 Privacy and Security 從左側選單。

步驟 6. 選擇 Security.

步驟 7. 滾動到 Manage certificates  然後按一下右側的按鈕。

步驟 8.選擇 Trusted Root Certification Authorities 頁籤並按一下 Import.

步驟 9.選擇證書檔案並按一下 Open.

步驟 10.按一下 OK.

註：如果在作業系統中安裝SWA證書，Google Chrome會信任該證書，因此無需將證書單獨匯入到瀏覽器。

在Microsoft Edge/Internet Explorer中匯入SWA證書

Microsoft Edge和Internet Explorer(IE)使用作業系統證書。如果在作業系統中安裝SWA證書，則無需將證書單獨匯入到瀏覽器。

在Safari中匯入SWA證書

步驟 1.從SWA下載HTTPS代理證書。

步驟 2. 將檔案重新命名為 .crt.

步驟 3. 在快速啟動板中，搜尋 Keychain Access 然後點選它。

步驟 4.從 File 選單按一下 Add Keychain.

步驟 5. 選擇SWA證書檔案，然後按一下 Add.

步驟 6. 選擇 Security.

步驟 7. 滾動到 Manage certificates 然後按一下右側的按鈕。

步驟 8.選擇Trusted Root Certification Authorities 頁籤並按一下 Import.

步驟 9.選擇證書檔案並按一下 Open.

步驟 10.按一下 OK.

將SWA證書從組策略匯入到客戶端

要通過Active Directory中的組策略將證書分發到客戶端電腦，請執行以下步驟：

步驟 1.從SWA下載HTTPS代理證書。

步驟 2. 將檔案重新命名為 .crt.

步驟 3. 將證書檔案複製到域控制器。

步驟 4. 在域控制器上，按一下 start  並開啟 Group Policy Management 管理單元。

步驟 5. 查詢所需的組策略對象(GPO)或建立包含SWA證書的新GPO，以便將其匯入客戶端。

步驟 6. 按一下右鍵GPO，然後按一下 Edit.

步驟 7. 從左側選單中，導航到 Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.

步驟 8.按一下右鍵 Trusted Root Certification Authorities，然後按一下 Import.

步驟 9. 按一下 Next 在 Welcome to the Certificate Import Wizard 頁面。

步驟 10. 選擇SWA證書檔案以便匯入，然後按一下 Next.

步驟 11. 按一下 Place all certificates in the following store，然後按一下 Next.

步驟 12. 驗證所提供的資訊是否準確，然後按一下 Finish.

注意：在某些情況下，必須重新啟動客戶端或運行 gpupdate /force 以便在Active Directory客戶端電腦上應用更改。

相關資訊

• Cisco Secure Web Appliance - GD（常規部署）AsyncOS 14.5使用手冊
• 使用組策略將證書分發到客戶端電腦 | Microsoft瞭解
• 技術支援與文件 - Cisco Systems