簡介
本檔案介紹在思科網路安全裝置(WSA)上用於HTTPS解密的憑證型別。
憑證概觀
WSA能夠使用當前證書和私鑰進行HTTPS解密。但是,可能會混淆應該使用的證書型別,因為並非所有x.509證書都起作用。
證書有兩種主要型別:伺服器證書和根證書。所有x.509證書都包含Basic Constraints欄位,該欄位標識證書型別:
- Subject Type=End Entity -伺服器證書
- Subject Type=CA -根證書
注意:您必須使用根證書(也稱為證書頒發機構(CA)簽名證書)對WSA進行HTTPS解密。
根憑證
根證書是專門為簽署伺服器證書而建立的。您可以建立並操作自己的CA並簽署自己的伺服器證書。
注意:由於根證書只簽署其他證書,因此不能將其用於Web伺服器上以執行HTTPS加密和解密。
WSA必須使用根證書以主動生成用於HTTPS解密的伺服器證書。根憑證使用有兩個可用選項:
- 在WSA上生成根證書。WSA會建立自己的根憑證和私密金鑰,並且會使用此金鑰配對來簽署伺服器憑證。
- 您可以將當前根證書及其私鑰上傳到WSA。根憑證中的一般名稱(CN)欄位可辨識信任任何包含其簽章的伺服器憑證的實體(通常是公司名稱)。
注意:只有在Web瀏覽器中存在公鑰的根證書對其進行簽名,才能信任伺服器證書。
伺服器憑證
伺服器憑證是特別為了用於HTTPS加密和解密以及驗證特定伺服器的真實性而建立的。伺服器證書由CA使用CA根證書進行簽名。CA的一個常見示例是VeriSign或Thawte。
注意:伺服器證書不能用於簽署其他證書;因此,如果WSA上安裝伺服器證書,則HTTPS解密不起作用。
伺服器憑證中的CN欄位指定使用憑證的主機。例如,https://www.verisign.com使用的CN為www.verisign.com的伺服器證書。
相關資訊
意見