证书(C) > 关于证书 > 管理 XTM 设备证书
管理 XTM 设备证书
可以使用 Fireware XTM Web UI 查看并管理 XTM 设备证书。 其中包括:
- 查看当前的 XTM 设备证书及其属性的列表
- 导入证书
- 选择 Web 服务器证书进行 Firebox 认证
- 选择证书用于 Branch Office VPN 或 Mobile User VPN
必须使用 Firebox System Manager (FSM) 来创建证书签名请求 (CSR)、导入证书吊销列表 (CRL)、移除证书或删除证书。
有关详细信息,请参阅 WatchGuard System Manager 帮助系统。
查看当前证书
要查看当前的证书列表,请执行以下操作:
- 选择“系统” > “证书”。
将显示“证书”列表,其中包含所有证书以及证书签名请求 (CSR)。
“证书”列表内容包括:
- 证书的状态和类型。
- 证书使用的算法。
- 证书的主题名或标识符。
默认情况下,该列表中不包括可信任 CA 证书。
- 要显示所有可信任的 CA 证书,请选中“显示代理可信任的 CA”复选框。
- 要隐藏可信任的 CA 证书,请清除“显示代理可信任的 CA”复选框。
从文件导入证书
可以从 Windows 剪贴板或本地计算机的文件中导入证书。 证书必须是 PEM (base64) 格式。 在导入证书以使用代理内容检查功能之前,必须先以“其他”类型导入信任链中之前的各个证书。 该操作将配置 XTM 设备信任该证书。 必须从头至尾逐一导入这些证书,或者从最重要的到最不重要的依次导入,以便 XTM 设备能够与信任链中的证书正确连接。
如果要为 XTM 设备导入 CA 证书,以用于在导入其他证书时对其进行验证,以及创建信任链,可在导入 CA 证书时确保选择“IPSec、Web 服务器、其他”类别,并且不包括私钥。
有关详细信息,请参阅关于证书、对 HTTPS 代理使用证书和SMTP 代理: TLS 加密。
- 选择“系统” > “证书”。
此时将显示“证书”页面。
- 单击“导入证书”。
- 选择与证书功能相匹配的选项:
- “代理机构(用于深度数据包检查)”— 如果有用户从外部网络中的 Web 服务器通过可信任或可选网络请求获得 Web 流量,而该证书正是针对管理此类流量的代理策略,则应选择此选项。 为此导入的证书必须为 CA 证书。 在导入用于重新加密代理中的流量的 CA 证书之前,请确保已经以“其他”类别导入用于签署该证书的 CA 证书。
- “代理服务器”— 如果外部网络上的用户从受 XTM 设备保护的 Web 服务器请求获得 Web 流量,而该证书正是针对管理此类流量的代理策略,则应选择此选项。 在导入用于重新加密来自 Web 服务器的流量的 CA 证书之前,请确保已经以“其他”类别导入用于签署该证书的 CA 证书。
- “代理的可信任 CA”— 如果某证书用于确定未获代理重新加密的流量可以信任,则应选择该选项。 例如用于签署外部 Web 服务器证书的根证书或中间 CA 证书。
- “IPSec、Web 服务器、其他”— 在下列情况下选择该选项:
- 证书用于身份验证,是设备 IPSec 证书,或者是 CA 证书。
- 要为 XTM 设备导入 CA 证书,以用于在导入其他证书时对其进行验证,以及创建信任链。 确保在导入 CA 证书时不包括私钥。
- 复制证书的内容并将其粘贴到文本框。 如果该证书还包含私钥,请键入密码以解密密钥。
- 单击“保存”。
证书被添加到 XTM 设备。
使用 Web 服务器证书进行认证
要使用第三方证书进行身份验证,必须先导入该证书。 请参阅之前的步骤了解详细信息。 如果使用由 XTM 设备签署的自定义证书,建议导出该证书,并导入与 XTM 设备连接的各个客户端设备。
- 选择“认证” > “Web 服务器证书”。
将显示“认证 Web 服务器证书”页面。
- 要使用之前导入的第三方证书,请选择“第三方证书”,然后从下拉列表中选择所需的证书。
单击“保存”,且不要执行该程序中的其他步骤。
- 要创建新证书进行 XTM 设备认证,请选择“由 Firebox 签署的自定义证书”。
- 在此对话框底部的文本框中,键入 XTM 设备上的接口的域名或 IP 地址。 单击“添加”。
添加需要的所有域名后,单击“确定”。
- 键入组织的“常用名”。 这通常是域名。
或者,也可以键入“组织名称”和“组织单位名称”(两者皆可选),以标识组织的哪一部分创建证书。
- 单击“保存”。
另请参阅
关于证书
用于 Mobile VPN with IPSec 隧道认证的证书
Branch Office VPN (BOVPN) 隧道认证的证书