Entschlüsselungszertifikat in sicherer Web-Appliance konfigurieren
Inhalt
Einleitung
In diesem Dokument werden die Schritte zum Konfigurieren von HTTPS-Verschlüsselungszertifikaten in sicheren Webanwendungen (SWA) und Proxyclients beschrieben.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Zugriff auf die grafische Benutzeroberfläche (GUI) von SWA
- Administratorzugriff auf die SWA
Verwendete Komponenten
Dieses Dokument ist nicht auf bestimmte Software- und Hardware-Versionen beschränkt.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
HTTPS-Entschlüsselung
Die sichere (HTTPS)-Entschlüsselung des SWA Hypertext Transfer Protocol verwendet die Stammzertifikate und privaten Schlüsseldateien, die Sie zur Verschlüsselung des Datenverkehrs auf die Appliance hochladen. Das Stammzertifikat und die privaten Schlüsseldateien, die Sie auf die Appliance hochladen, müssen das PEM-Format haben.
Hinweis: Das DER-Format wird nicht unterstützt.
Sie können auch ein Zwischenzertifikat hochladen, das von einer Stammzertifizierungsstelle signiert wurde. Wenn der SWA das Serverzertifikat imitiert, sendet er das hochgeladene Zertifikat zusammen mit dem imitierten Zertifikat an die Client-Anwendung. Solange das Zwischenzertifikat von einer Stammzertifizierungsstelle (Certificate Authority, CA) signiert wird, der die Clientanwendung vertraut, vertraut die Anwendung auch dem imitierten Serverzertifikat.
Entschlüsselungszertifikat in SWA konfigurieren
Der SWA kann ein aktuelles Zertifikat und einen privaten Schlüssel für die HTTPS-Entschlüsselung verwenden. Es kann jedoch Verwirrung darüber geben, welche Art von Zertifikat verwendet werden muss, da nicht alle x.509-Zertifikate funktionieren.
Es gibt zwei Haupttypen von Zertifikaten: 'Serverzertifikate' und 'Stammzertifikate'. Alle x.509-Zertifikate enthalten ein Feld für grundlegende Einschränkungen, in dem der Zertifikatstyp angegeben ist:
- Subject Type=Endeinheit - Serverzertifikat
- Betrefftyp=CA- Stammzertifikat
Stammzertifikat und Schlüssel hochladen
Schritt 1: Von GUI navigieren Sie zu Security Services und wählen HTTPS Proxy.
Schritt 2: Klicken Sie auf Edit Settings
Schritt 3: Klicken Sie auf Hochgeladenes Zertifikat und hochgeladenen Schlüssel verwenden.
Schritt 4: Klicken Sie auf Browse (Durchsuchen), um zum Zertifikatfeld zu wechseln, das auf dem lokalen Computer gespeichert ist.
Hinweis: Wenn die hochgeladene Datei mehrere Zertifikate oder Schlüssel enthält, verwendet der Webproxy das erste Zertifikat oder den ersten Schlüssel in der Datei.
Schritt 5: Klicken Sie auf Browse (Durchsuchen), um zum Feld für den privaten Schlüssel zu navigieren.
Hinweis: Die Schlüssellänge muss 512, 1024 oder 2048 Bit betragen.
Schritt 6: Wählen Sie bei verschlüsseltem Schlüssel die Option Schlüssel ist verschlüsselt aus.
Schritt 7. Klicken Sie auf Upload Files (Dateien hochladen), um die Zertifikat- und Schlüsseldateien an die Secure Web Appliance zu übertragen.
Die hochgeladenen Zertifikatinformationen werden auf der Seite "HTTPS-Proxyeinstellungen bearbeiten" angezeigt.
Schritt 8: Klicken Sie (optional) auf Zertifikat herunterladen, um es an die Client-Anwendungen im Netzwerk zu übertragen.
Schritt 9. Submit und Commit Änderungen.
Zertifikat und Schlüssel für den HTTPS-Proxy generieren
Schritt 1: Von GUI navigieren Sie zu Security Services und wählen HTTPS Proxy.
Schritt 2: Klicken Sie auf Edit Settings.
Schritt 3: Auswählen Use Generated Certificate and Key.
Schritt 4: Klicken Sie auf Generate New Certificate and Key.
Schritt 5: Im Generate Certificate and Key geben Sie die Informationen ein, um sie im Stammzertifikat anzuzeigen.
Sie können jedes ASCII-Zeichen außer dem Schrägstrich (/) im Feld "Common Name" (Allgemeiner Name) eingeben.
Schritt 6: Klicken Sie auf Generate.
Schritt 7. Die generierten Zertifikatinformationen werden auf der Seite "HTTPS-Proxyeinstellungen bearbeiten" angezeigt.
Schritt 8. Klicken Sie (optional) auf Download Certificate damit Sie sie auf die Client-Anwendungen im Netzwerk übertragen können.
Schritt 9. Klicken Sie optional auf Download Certificate Signing Request damit Sie die CSR-Anfrage an eine Zertifizierungsstelle senden können.
Schritt 10. (Optional) Laden Sie das signierte Zertifikat auf die sichere Web-Appliance hoch, nachdem Sie es von der Zertifizierungsstelle zurückerhalten haben. Sie können dies jederzeit tun, nachdem Sie das Zertifikat auf der Appliance generiert haben.
Schritt 11. Submit und Commit Änderungen.
Zertifikat importieren
Upstream-Proxyzertifikat in SWA importieren
Wenn SWA für die Verwendung eines Upstream-Proxys konfiguriert ist und der Upstream-Proxy für die HTTPS-Entschlüsselung konfiguriert ist, müssen Sie das Zertifikat für die Upstream-Proxyverschlüsselung in SWA importieren.
Sie können die Liste der vertrauenswürdigen Zertifikate verwalten, ihr Zertifikate hinzufügen und Zertifikate funktional aus ihr entfernen.
Schritt 1: Wählen Sie in der GUI Network und wählen Certificate Management.
Schritt 2: Klicken Sie auf Manage Trusted Root Certificates auf der Seite Zertifikatverwaltung.
Schritt 3: Um ein benutzerdefiniertes vertrauenswürdiges Stammzertifikat mit Signaturberechtigung hinzuzufügen, das nicht in der von Cisco erkannten Liste enthalten ist, klicken Sie auf Import und dann die Zertifikatsdatei senden.
Schritt 4: Submit und Commit Änderungen.
SWA-Zertifikat in ein anderes SWA importieren
Falls Sie HTTPS-Zertifikat und -Schlüssel in einem SWA für HTTPS Proxy hochgeladen haben und die Originaldateien gerade verfügbar sind, können Sie sie aus der Konfigurationsdatei in einen anderen SWA importieren.
Schritt 1: Wählen Sie aus der GUI beider SWAs Folgendes aus: System Administration und klicke auf Configuration File.
Schritt 2: Klicken Sie auf Download auf dem lokalen Computer speichern, um sie anzuzeigen oder zu speichern.
Schritt 3: Auswählen Encrypt passwords in den Konfigurationsdateien.
Schritt 4. (Optional) Wählen Sie Benutzerdefinierten Dateinamen verwenden, und geben Sie den gewünschten Namen an die Konfigurationsdatei an.
Schritt 5: Klicken Sie auf Senden unter Aktuelle Konfiguration zum Herunterladen der Konfiguration .xml Datei.
Schritt 6: Öffnen Sie heruntergeladene Dateien mit Texteditoren oder XML-Editoren.
Schritt 7. Kopieren Sie diese SWA-Tags mit dem Zertifikat, kopieren Sie alle Daten innerhalb der Tags, und ersetzen Sie sie in der Konfigurationsdatei anderer SWAs:
....
....
....
....
Schritt 8: Speichern Sie die Änderungen in .xml Datei der Ziel-SWA.
Schritt 9. Um die bearbeitete .xml Konfigurationsdatei zurück zum Ziel-SWA, wählen Sie in der GUI System Administration und klicke auf Configuration File.
Schritt 10. Im Load Configuration Sektionsklick Load a configuration file from local computer.
Schritt 11. Klicken Sie auf Datei auswählen und wählen Sie die bearbeitete .xml Konfigurationsdatei.
Schritt 12: Klicken Sie auf Load um die neue Konfigurationsdatei mit dem Zertifikat und dem Schlüssel zu importieren.
Schritt 13: Commit ändert sich, wenn das System aufgefordert wird.
SWA-Zertifikat in Windows-Client importieren
Um das SWA HTTPS-Proxy-Zertifikat als vertrauenswürdig auf Clientcomputern mit dem Microsoft Windows-Betriebssystem zu importieren, gehen Sie wie folgt vor:
Schritt 1: Klicken Sie in der Taskleiste auf Start, und geben Sie Manage computer certificates.
Schritt 2: Erweitern Sie auf der Seite Zertifikate - Lokaler Computer die Option Trusted Root Certification und klicke mit der rechten Maustaste auf den Ordner Zertifikate.
Schritt 3: Klicken Sie auf All Tasks und wählen Import.
Schritt 4: Klicken Sie auf der Seite Zertifikatsimport-Assistent auf Next.
Schritt 5: Klicken Sie zum Importieren der SWA-Zertifikatsdatei auf Browse und wählen Sie das Zertifikat aus, das Sie von SWA heruntergeladen haben.
Tipp: Informationen zum Herunterladen des SWA-Zertifikats finden Sie in Schritt 8. im Abschnitt 'Upload a Root Certificate and Key' (Hochladen eines Stammzertifikats und Schlüssels) oder in 'Generating a Certificate and Key for the HTTPS Proxy' (Erstellen eines Zertifikats und Schlüssels für den HTTPS-Proxy) in diesem Dokument.
Schritt 6: Klicken Sie auf Place all certificates in the following Kontrollkästchen.
Schritt 7. Auswählen Trusted Root Certification Authorities und klicke auf Next.
Schritt 8: Klicken Sie auf Finish.
Alternativ können Sie diesen Befehl verwenden, um das Zertifikat in Trusted Root Certification Authorities.
certutil -addstore -f "ROOT"
Hinweis: Sie müssen
mit dem aktuellen heruntergeladenen Zertifikatpfad und Dateinamen.
SWA-Zertifikat in Mac-Client importieren
Schritt 1: Laden Sie das HTTPS-Proxy-Zertifikat von SWA auf den Mac OS-Client herunter.
Schritt 2: Umbenennen der Dateierweiterung in .crt.
Schritt 3: Führen Sie den folgenden Befehl aus, um das Zertifikat als vertrauenswürdiges Zertifikat zu importieren:
sudo security add-trusted-cert -d -r trustRoot -k /Library/Keychains/System.keychain
Hinweis: Sie müssen es durch den aktuell heruntergeladenen Zertifikatpfad und Dateinamen ersetzen.
SWA-Zertifikat in Ubuntu/Debian importieren
Schritt 1: HTTPS-Proxy-Zertifikat von SWA herunterladen
Schritt 2: Öffnen Sie die Zertifikatsdatei im Text-Editor, und kopieren Sie den gesamten Inhalt.
Schritt 3: Neue Datei erstellen in /usr/local/share/ca-certificates/ mit .crt eine Durchwahl.
Schritt 4: Bearbeiten Sie die Datei mit dem gewünschten Texteditor, und speichern Sie den kopierten Text in der neuen Datei.
Schritt 5: Führen Sie diesen Befehl aus, um die Zertifikate im Betriebssystem zu aktualisieren.
sudo update-ca-certificates
Tipp: Wenn das Zertifikat lokal auf dem Client gespeichert ist, können Sie es kopieren nach /usr/local/share/ca-certificates/ und laufen sudo update-ca-certificates.
Hinweis: In einigen Versionen müssen Sie das ca-certificate-Paket mit dem folgenden Befehl installieren: sudo apt-get install -y ca-certificates.
SWA-Zertifikat in CentOS 6 importieren
Schritt 1: HTTPS-Proxy-Zertifikat von SWA herunterladen
Schritt 2: Öffnen Sie die Zertifikatsdatei im Text-Editor, und kopieren Sie den gesamten Inhalt der Datei.
Schritt 3: Neue Datei erstellen in /etc/pki/ca-trust/source/anchors/ mit .crt -Erweiterung.
Schritt 4: Bearbeiten Sie die Datei mit dem gewünschten Texteditor, und speichern Sie den kopierten Text in der neuen Datei.
Schritt 5: Installieren Sie das Paket ca-certificats:
yum install ca-certificates
Schritt 6: Führen Sie diesen Befehl aus, um Zertifikate im Betriebssystem zu aktualisieren:
update-ca-trust extract
Tipp: Wenn das Zertifikat lokal auf dem Client gespeichert ist, können Sie es kopieren nach /etc/pki/ca-trust/source/anchors/ und laufen update-ca-trust extract nach der Installation des ca-certificates.
SWA-Zertifikat in CentOS 5 importieren
Schritt 1: HTTPS-Proxy-Zertifikat von SWA herunterladen
Schritt 2: Öffnen Sie die Zertifikatsdatei im Text-Editor, und kopieren Sie den gesamten Inhalt der Datei.
Schritt 3: Neue Datei im aktuellen Ordner erstellen mit .crt Durchwahl (z. B. SWA.crt).
Schritt 4: Bearbeiten Sie die /etc/pki/tls/certs/ca-bundle.crt den kopierten Text am Ende der Datei in den gewünschten Texteditor einfügen und speichern.
Tipp: Wenn das Zertifikat lokal auf dem Client gespeichert ist (in diesem Beispiel lautet der Dateiname SWA.crt), können Sie das Zertifikat mit dem folgenden Befehl anhängen: cat SWA.crt >>/etc/pki/tls/certs/ca-bundle.crt.
SWA-Zertifikat in Mozilla Firefox importieren
Schritt 1: HTTPS-Proxy-Zertifikat von SWA herunterladen
Schritt 2: Datei umbenennen in .crt.
Schritt 3: Öffnen Sie Firefox und klicken Sie auf das Menü (drei Leisten in der rechten oberen Ecke).
Schritt 4: Wählen Sie Einstellungen (in einigen Versionen sind es Optionen).
Schritt 5: Klicken Sie auf Privacy & Security im Menü auf der linken Seite, und scrollen Sie nach Certificates.
Schritt 6: Klicken Sie auf View Certificates.
Schritt 7. Klicken Sie auf Authorities und dann Import.
Schritt 8: Wählen Sie die Zertifikatsdatei aus, und klicken Sie auf Open.
Schritt 9. Klicken Sie auf OK.
SWA-Zertifikat in Google Chrome importieren
Schritt 1: HTTPS-Proxy-Zertifikat von SWA herunterladen
Schritt 2: Datei umbenennen in .crt.
Schritt 3: Öffnen Sie Google Chrome und klicken Sie auf Customize and control Google Chrome(drei Punkte in der rechten oberen Ecke).
Schritt 4: Auswählen Settings.
Schritt 5: Klicken Sie auf Privacy and Security aus dem Menü auf der linken Seite.
Schritt 6: Auswählen Security.
Schritt 7. Navigieren Sie zu Manage certificates und klicke auf die Schaltfläche auf der rechten Seite.
Schritt 8: Wählen Sie Trusted Root Certification Authorities und klicken Sie auf Import.
Schritt 9. Wählen Sie die Zertifikatsdatei aus, und klicken Sie auf Open.
Schritt 10. Klicken Sie auf OK.
Hinweis: Wenn Sie das SWA-Zertifikat im Betriebssystem installieren, vertraut Google Chrome diesem Zertifikat, und es besteht keine Notwendigkeit, das Zertifikat separat in Ihren Browser zu importieren.
SWA-Zertifikat in Microsoft Edge/Internet Explorer importieren
Microsoft Edge und Internet Explorer (IE) verwenden Betriebssystemzertifikate. Wenn Sie das SWA-Zertifikat im Betriebssystem installieren, ist es nicht erforderlich, das Zertifikat separat in Ihren Browser zu importieren.
SWA-Zertifikat in Safari importieren
Schritt 1: HTTPS-Proxy-Zertifikat von SWA herunterladen
Schritt 2: Datei umbenennen in .crt.
Schritt 3: Suchen Sie im Launchpad nach Keychain Access und klicke darauf.
Schritt 4: Über die File Menüklick Add Keychain.
Schritt 5: Wählen Sie die SWA-Zertifikatsdatei aus, und klicken Sie auf Add.
Schritt 6: Auswählen Security.
Schritt 7. Navigieren Sie zu Manage certificates und klicke auf die Schaltfläche auf der rechten Seite.
Schritt 8: Wählen SieTrusted Root Certification Authorities und klicken Sie auf Import.
Schritt 9. Wählen Sie die Zertifikatsdatei aus, und klicken Sie auf Open.
Schritt 10. Klicken Sie auf OK.
SWA-Zertifikat von Gruppenrichtlinie in Clients importieren
Führen Sie die folgenden Schritte aus, um Zertifikate über Active Directory nach Gruppenrichtlinien an die Clientcomputer zu verteilen:
Schritt 1: HTTPS-Proxy-Zertifikat von SWA herunterladen
Schritt 2: Datei umbenennen in .crt.
Schritt 3: Kopieren Sie die Zertifikatsdatei auf Ihren Domänencontroller.
Schritt 4: Klicken Sie auf dem Domänencontroller auf start und öffne die Group Policy Management Snap-In.
Schritt 5: Suchen Sie das gewünschte Gruppenrichtlinienobjekt, oder erstellen Sie ein neues Gruppenrichtlinienobjekt, das das SWA-Zertifikat enthält, um es in den Client zu importieren.
Schritt 6: Klicken Sie mit der rechten Maustaste auf das Gruppenrichtlinienobjekt, und klicken Sie dann auf Edit.
Schritt 7. Navigieren Sie im Menü links zu Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies.
Schritt 8: Klicken Sie mit der rechten Maustaste auf Trusted Root Certification Authoritiesund klicke auf Import.
Schritt 9. Klicken Sie auf Next auf der Welcome to the Certificate Import Wizard Seite.
Schritt 10. Wählen Sie die SWA-Zertifikatdatei für den Import aus, und klicken Sie auf Next.
Schritt 11. Klicken Sie auf Place all certificates in the following store, und klicken Sie dann auf Next.
Schritt 12: Überprüfen Sie die Richtigkeit der bereitgestellten Informationen, und klicken Sie auf Finish.
Hinweis: Unter bestimmten Umständen müssen Sie den Client neu starten oder ausführen gpupdate /force um die Änderungen auf den Active Directory-Clientcomputer anzuwenden.
Zugehörige Informationen
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
23-May-2023 |
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)