证书是用来匹配个人或组织的身份的,并可为其他人提供认证这种身份并进行安全通信的方法。 它使用一种称为密钥对的加密方法,密钥对是两个数学上相关的数字,被称为私钥 和公钥。 证书由私钥签署,包含身份声明和公钥。
签署证书的私钥既可以取自生成证书的同一个密钥对,也可以取自其他密钥对。 如果私钥取自创建证书的同一密钥对,就称这种证书为自签名证书。 而如果私钥来自不同的密钥对,那么得到的证书就是普通证书。 包含可用来签署其他证书的私钥的证书称为 CA(证书颁发机构)证书。 证书颁发机构是签署和吊销证书的组织或应用程序。
如果您的组织拥有 PKI(公钥基础结构)设置,那么您可以作为 CA 自己签署证书。 大多数应用程序和设备都会自动接受可信任的著名 CA 所签署的证书。 非著名 CA 所签署的证书(比如自签名证书)不会被许多服务器或程序自动接受,也无法正常使用 Fireware XTM 的某些功能。
可以同时使用多个证书来建立信任链。 例如,位于信任链始端的 CA 证书来自某著名 CA,可用来签署另一个较小 CA 的 CA 证书。 而这个较小的 CA 又可以签署另一个您组织所使用的 CA 证书。 最后,您的组织可以使用这个 CA 证书来签署另一个将用于 HTTPS 代理和 SMTP 代理内容检查功能的证书。 但是,要想使用处于信任链末端的最终证书,则必须先按如下顺序导入信任链中的所有证书:
要让用户信任最后一个证书,则有必要为所有客户端设备导入以上全部证书。
您的 XTM 设备可以将证书用于多种用途:
默认情况下,XTM 设备会创建自签名证书来为 Fireware XTM Web UI 和代理内容检查保证管理会话数据以及认证尝试的安全性。 要确保用于内容检查的证书是唯一的,则需要在其名称中包含设备的序列号和证书创建的时间。 由于这些证书不是由可信任的 CA 签署的,所以您网络上的用户会在其 Web 浏览器中看到安全警告。
要取消这种警告,有三种方法可供您选择:
若选择第二种和第三种方法,可以在网络客户端连接到 XTM 设备时要求它们手动接受这些自签名证书。 或者,也可以导出这些证书,并用网络管理工具进行分发。 必须安装 WatchGuard System Manager 才可导出证书。
每个证书在创建时都设置了有效期。 当证书的使用时间达到了设定的有效期时,它将会过期并且无法再自动使用。 您还可以通过 Firebox System Manager (FSM) 来手动删除证书。
有时,CA 会在证书过期之前吊销或禁用它们。 XTM 设备会保留当前被吊销的证书列表,这个列表被称为证书吊销列表 (CRL),用来认证 VPN 身份验证所使用的证书是否有效。 如果您安装了 WatchGuard System Manager,则可以用 Firebox System Manager (FSM) 来手动更新该列表,或根据证书信息自动更新。 每个证书都含有用来识别此证书的唯一号码。 如果 Web 服务器、BOVPN、Mobile VPN with IPSec 或 Mobile VPN with L2TP 证书中的唯一号码与其关联 CRL 中的标识符相匹配,那么 XTM 设备会禁用此证书。
在代理上启用内容检查时,XTM 设备会检查与用于签署内容的证书相关联的 OCSP(在线证书状态协议)响应程序。 OCSP 响应程序会发送证书的吊销状态。 如果 OCSP 响应由 XTM 设备所信任的证书签署,那么 XTM 设备将接受该响应。 如果 OCSP 响应不是由 XTM 设备所信任的证书签署,或者 OCSP 响应程序没有发送响应,那么您可以配置 XTM 设备来接受或拒绝原始证书。
有关 OCSP 选项的详细信息,请参阅 HTTPS 代理:内容检查。
要创建自签名证书,需要将加密密钥对的一部分放入证书签名请求 (CSR) 中,然后向 CA 发送请求。 为每个您所创建的 CSR 使用新密钥对是至关重要的。 CA 会在接收到 CSR 并验证身份后颁发证书。 如果您安装了 FSM 或 Management Server 软件,则可以用这些程序来为 XTM 设备创建 CSR。 也可以使用其他工具,比如 OpenSSL 或者大部分 Windows Server 操作系统都会自带的 Microsoft CA Server。
如果要创建用于 HTTPS 代理和 SMTP 代理内容检查功能的证书,则该证书必须是可以重新签署其他证书的 CA 证书。 如果您用 Firebox System Manager 创建了 CSR 并由著名 CA 签署,那么可以将其作为 CA 证书使用。
如果组织没有 PKI 设置,那么建议选择重要 CA 来签署使用的 CSR(代理 CA 证书除外)。 如果您的证书是由著名 CA 签署的,那么它们会自动被大多数用户所信任。 WatchGuard 已对由 VeriSign、Microsoft CA Server、Entrust 以及 RSA KEON 签署的证书进行了测试。 您也可以导入其他证书,这样您的 XTM 设备也会信任其他的 CA。
有关可自动信任的 CA 的完整列表,请参阅 XTM 设备信任的证书颁发机构。
Branch Office VPN (BOVPN) 隧道认证的证书