SSL代理配置

SSL代理配置包括指定SSL代理方式和为不同SSL代理方式添加列表证书。SSL代理方式包含“采用此列表内证书加密的通信做代理处理，其它证书加密的通信不做代理”（以下简称“代理方式一”）和“采用此列表内证书加密的通信不做代理处理，其它证书加密的通信做代理”（以下简称“代理方式二”）两种。

根据不同SSL代理方式，安全网关会对SSL流量做不同处理：

• 对于代理方式一，安全网关只对使用该方式列表证书加密的通信进行SSL代理，签发SSL代理证书到客户端Web浏览器，对使用列表外其它证书加密的通信不进行SSL代理；
• 对于代理方式二，安全网关不对使用该方式列表证书加密的通信进行SSL代理，直接将SSL Web站点证书转发到客户端Web浏览器，对使用列表外其它证书加密的通信进行SSL代理。

系统默认的代理方式为代理方式一。

指定SSL代理方式

指定SSL代理方式，请按照以下步骤进行操作：

1. 访问页面“防火墙SSL代理”。
2. 在<SSL证书匹配方式>部分选中<采用此列表内证书加密的通信做代理处理，其它证书加密的通信不做代理>或者<采用此列表内证书加密的通信不做代理处理，其它证书加密的通信做代理>单选按钮。

添加列表证书

为代理方式一添加列表证书，请按照以下步骤进行操作：

1. 访问页面“防火墙SSL代理”。
2. 在<采用此列表内证书加密的通信做代理处理，其它证书加密的通信不做代理>部分文本框中输入需要SSL代理的站点证书Subject字段的CommonName字段，然后点击『添加』按钮。关于如何获得站点证书Subject字段的CommonName字段，请参阅SSL代理配置举例。

为代理方式二添加列表证书，请按照以下步骤进行操作：

1. 访问页面“防火墙SSL代理”。
2. 在<采用此列表内证书加密的通信不做代理处理，其它证书加密的通信做代理>部分文本框中输入不需要SSL代理站点证书Subject字段的CommonName字段，然后点击『添加』按钮。关于如何获得站点证书Subject字段的CommonName字段，请参阅SSL代理配置举例。

删除站点证书，点击『删除』按钮，删除相应的站点证书。

注意：进行SSL代理时，安全网关会用SSL代理证书替换SSL Web站点的证书，并下发到客户端Web浏览器。由于客户端浏览器不拥有SSL代理证书的根证书，从而导致用户不能正常访问代理站点。为了解决这个问题，需要在客户端浏览器中导入SSL代理证书的根证书，也即设备证书。关于如何将设备证书导入到客户端PC浏览器，请参阅SSL代理配置举例。