证书(C) > 对 HTTPS 代理使用证书

对 HTTPS 代理使用证书

许多网站同时使用 HTTP 和 HTTPS 协议向用户发送信息。 检查 HTTP 流量很容易,但检查 HTTPS 流量就要费一些时间; 因为 HTTPS 流量是经过加密的,所以要检查网络用户所请求的 HTTPS 流量,必须先将 XTM 设备配置为可以解密信息,然后再使用所有网络用户信任的证书颁发机构 (CA) 签发的证书对其加密。

默认情况下,XTM 设备将使用自动生成的自签名证书对其已经检查过的内容重新加密。 没有该证书副本的用户在使用 HTTPS 连接安全网站时,系统将显示证书警告。 如果远程网站使用的是已过期的证书,或者是由 XTM 设备无法识别的 CA(证书颁发机构)签发的证书,则 XTM 设备会将相应内容重新签署为 Fireware HTTPS 代理:无法识别的证书 或无效的证书

这一部分介绍了如何从 XTM 设备导出证书,以及如何在 Microsoft Windows 或 Mac OS X 系统上导入该证书,以便使用 HTTPS 代理。 要在其他设备、操作系统或应用程序中导入证书,请参阅相应制造商的说明文档。

保护专用 HTTPS 服务器

要保护网络中的 HTTPS 服务器,必须先导入用于签署 HTTPS 服务器证书的 CA 证书,然后再导入带有相关私钥的 HTTPS 服务器证书。 如果用于签署 HTTPS 服务器证书的 CA 证书不能自动得到信任,为确保该功能可以正常运行,必须逐一导入各个可信任的证书。 导入所有证书后,请配置 HTTPS 代理。

首先,编辑 HTTPS 代理操作以启用 HTTPS 内容深度检查。

在 Fireware XTM Web UI 中:

  1. 选择防火墙 > 代理操作
    此时将显示代理操作页面。
  2. 选择一个 HTTPS 代理操作: HTTPS-ClientHTTPS-Server。 单击编辑
    将根据您选择的代理操作显示编辑代理操作页面。
  3. 展开内容检查部分。
  4. 选中启用 HTTPS 内容深度检查复选框。
  5. 代理操作下拉列表中,选择您希望用于检查 HTTPS 内容的 HTTP 代理操作。
    例如,HTTP-Client
  6. 清除使用 OCSP 以确认证书的有效性复选框。
  7. 绕开列表文本框中,键入您不想检查流量的网站的 IP 地址。 单击添加
  8. (可选)重复步骤 7 以向绕开列表中添加更多的 IP 地址。
  9. 单击保存
    如果编辑了一个预定义代理操作,必须把更改克隆到一个新的代理操作,才能将所作更改保存并应用到某个代理策略中。 将显示克隆代理操作对话框。
  10. 名称文本框中,为代理操作键入新的名称。
    例如,键入 HTTPS-Client DCI
  11. 单击确定
    代理列表将显示新代理操作。

接下来,添加一个使用您添加的代理操作的 HTTPS 代理。

在 Fireware XTM Web UI 中:

  1. 选择防火墙 > 防火墙策略
    将显示防火墙策略页面。
  2. 单击 添加策略按钮
    将显示选择策略类型页面。
  3. 展开代理类别并选择 HTTPS 代理
  4. 单击添加策略
    将显示 HTTP 代理的策略配置页面。
  5. 代理操作下拉列表中,选择您添加的代理操作。
    例如,选择 HTTPS-Client DCI
  6. 单击保存

有关详细信息,请参阅管理 XTM 设备证书

检查来自外部 HTTPS 服务器的内容

如果您的组织已协同可信任 CA 建立了 PKI(公钥基础结构),您就可以在 XTM 设备上导入由组织 CA 签发的证书。 如果 CA 证书不能自动得到信任,为确保该功能可以正常运行,必须导入之前信任链中的所有证书。 如果您尝试使用由公共第三方 CA 签发的证书,您的用户将在浏览器中收到证书警告。 我们建议您使用由您自己的内部 CA 签发的证书。

有关详细信息,请参阅 HTTPS 代理:内容检查管理 XTM 设备证书

如果您有其他使用 HTTPS 端口的流量,如 SSL VPN 流量,建议您认真评估内容检查功能。 HTTPS 代理总是试图以一种方法检查 TCP 端口 443 上的所有流量。 为确保其他流量源能够正常运行,我们建议您将它们的 IP 地址添加到绕开列表中。
有关详细信息,请参阅 HTTPS 代理:内容检查

在启用该功能前,建议您提供各个证书,以便在网络的所有客户端上注册 HTTPS 流量。 可以将证书附加于电子邮件中并提供说明,或者使用网络管理软件自动安装证书。 此外,我们建议您在将该 HTTPS 代理应用于大型网络的流量之前,先在少量用户范围内进行测试,以确保 HTTPS 代理能够正常运行。

如果您的组织没有公钥基础结构 (PKI),则必须从 XTM 设备中复制默认或自定义的自签名证书,并应用于各客户端设备。

首先,编辑 HTTPS 代理操作以启用 HTTPS 内容深度检查。

在 Fireware XTM Web UI 中:

  1. 选择防火墙 > 代理操作

    此时将显示代理操作页面。
  2. 选择一个 HTTPS 代理操作: HTTPS-ClientHTTPS-Server。 单击编辑

    将根据您选择的代理操作显示编辑代理操作页面。
  3. 展开内容检查部分。
  4. 选中启用 HTTPS 内容深度检查复选框。
  5. 代理操作下拉列表中,选择您希望用于检查 HTTPS 内容的 HTTP 代理操作。

    例如 HTTP-Client
  6. 指定用于 OCSP 证书认证的选项。
  7. 单击保存

    如果编辑了一个预定义代理操作,必须把更改克隆到一个新的代理操作,才能将所作更改保存并应用到某个代理策略中。 将显示克隆代理操作对话框。
  8. 名称文本框中,为代理操作键入新的名称。
  9. 单击确定

    代理列表将显示新代理操作。

接下来,添加一个使用您添加的代理操作的 HTTPS 代理。

在 Fireware XTM Web UI 中:

  1. 选择防火墙 > 防火墙策略

    将显示防火墙策略页面。
  2. 单击 添加策略按钮

    将显示选择策略类型页面。
  3. 展开代理类别并选择 HTTPS 代理
  4. 单击添加策略

    将显示 HTTP 代理的策略配置页面。
  5. 代理操作下拉列表中,选择您添加的代理操作。

    例如,选择 HTTPS-Client DCI
  6. 单击保存

启用内容检查时,HTTP 代理操作 WebBlocker 设置将替代 HTTPS 代理 WebBlocker 设置。 如果您向绕开列表中添加了 IP 地址,则 HTTPS 代理的 WebBlocker 设置将对来自这些站点的流量进行筛选。

有关 WebBlocker 配置的详细信息,请参阅关于 WebBlocker

在客户端设备上导入证书

要将已在 XTM 设备上安装的证书用于客户端设备,您必须使用 Firebox System Manager 导出这些证书,然后再在各客户端上将其导入。 您不能通过 Web UI 从 XTM 设备导出证书。

有关如何导入证书的详细信息,请参阅在客户端设备上导入证书

有关如何使用 Firebox System Manager 导出证书的详细信息,请参阅 Fireware XTM WatchGuard System Manager 帮助中的为 HTTPS 代理使用证书

利用 HTTPS 内容检查排除故障

当用于 HTTPS 内容检查的证书出现问题时,XTM 设备通常会创建日志消息。 建议您通过查看这些日志消息了解更多信息。

如果与远程 Web 服务器的连接经常中断,请检查以确保您已导入以下证书:确定用于重新加密 HTTPS 内容的 CA 证书可以信任而所需的全部证书,以及确定来自原始 Web 服务器的证书可以信任而所需的证书。 必须在 XTM 设备和所有客户端设备上将这些证书全部导入,才能实现成功连接。

请参阅

关于证书

关于 HTTPS 代理

管理 XTM 设备证书

提供反馈  •   获得支持  •   全部产品文件  •   知识库