SSL代理配置

本节主要介绍SSL代理配置。

配置SSL代理功能

配置SSL代理功能,请按照以下步骤进行操作:

  1. 从页面左侧导航树选择并点击“配置控制网页关键字/Web外发信息/邮件过滤”,进入功能页面。
  2. 从页面右侧辅助栏的<任务>区选择『SSL代理』链接,弹出<SSL代理>对话框。
  3. 选中<HTTPS访问审计>对应的<启用>复选框,启用SSL代理功能。
  4. 在<审计内容>部分配置审计方式和审计网站。
    1. 在<审计方式>下拉菜单中选择需要的审计方式,包括“只审计下表指定网站”和“审计所有网站,但排除下表指定网站”。
      只审计下表指定网站:对使用列表中网站证书加密的通信进行SSL代理,发送SSL代理证书到客户端Web浏览器,对使用其它网站证书加密的通信不进行SSL代理。
      审计所有网站,但排除下表指定网站:不对使用列表网站证书加密的通信进行SSL代理,直接将SSL Web站点证书转发到客户端Web浏览器,对使用其它网站证书加密的通信进行SSL代理。
    2. 在<审计网站>文本框中输入网站证书Subject字段的CommonName字段。关于如何获得网站证书Subject字段的CommonName字段,请参阅下节获取网站证书的CommonName字段
    3. 点击『添加』按钮将审计网站添加到下方的网站列表中。如需编辑/删除审计网站,单击选中网站列表中需要编辑/删除的审计网站,点击列表右侧的『编辑』/『删除』按钮。
  5. 如需要,选中<警告提示>对应的<启用>复选框,启用警告提示功能。
  6. 点击<审计用户>对应的『设置』链接,弹出<审计用户配置>对话框。在该对话框配置需要进行审计的用户。
    1. 在<审计方式>下拉菜单选中需要的审计方式,包括“只审计下表指定用户”和“审计所有用户,但排除下表指定用户”。
    2. 在<配置类型>部分指定需要的审计用户类型,包括“源地址”和“用户”。选中所需类型的单选按钮并完成相关参数配置。
      源地址:指定“源地址”配置类型,可以为地址簿条目、IP和IP范围之间的任意组合。在<用户类型>下拉菜单选中需要的用户类型,如果选中“地址簿”,需要在<地址簿>下拉菜单选中需要的地址条目或者选中“新建地址簿”,在弹出的<配置地址簿>对话框配置需要的地址条目;如果选中“IP”,需要在<IP地址>文本框输入IP地址和网络掩码;如果选中“IP范围”,需要在<IP范围>文本框输入范围的起始IP。
      用户:指定“用户”配置类型,可以为角色、用户和用户组之间的任意组合。在<用户类型>下拉菜单选中需要的用户类型,如果选中“角色”,需要在<角色>下拉菜单选中需要的角色;如果选中“用户”,需要在<AAA服务器>下拉菜单选中服务器并在<用户名>下拉菜单选中用户名;如果选中“用户组”,需要在<AAA服务器>下拉菜单选中服务器并在<用户组名>下拉菜单选中用户组名。
    3. 点击『添加』按钮,将“源地址”或者“用户”配置类型添加进下方的用户列表中。如需要删除用户,单击选中用户列表中的用户条目,点击『删除』按钮。
    4. 点击『确定』按钮,保存所做配置并返回上一级对话框。
  7. 点击<可信SSL证书>对应的『设置』链接,弹出<可信SSL证书设置>对话框。在该对话框进行导入或者删除可信SSL证书配置。可信SSL证书列表中包含业内广泛认可的CA证书,用于设备替换SSL Web站点证书前验证站点证书的合法性。如果合法,设备会将系统SSL代理证书下发给客户端Web浏览器;如果不合法,设备会下发系统内置证书,该内置证书会在Subject字段中表明该证书不可信,从而提醒用户对该站点的访问。
    • 导入:点击该按钮,在弹出<的导入证书>对话框中点击『浏览』按钮,选中证书文件,点击『确定』按钮,系统开始上传SSL证书。
    • 删除:单击选中列表中的SSL证书,点击『删除』按钮,删除相应的可信SSL证书。
    • 关闭:点击该按钮,关闭对话框。
  8. 点击<信任域>对应的『设置』链接,弹出<信任域设置>对话框。在该对话框进行设备证书的PKI信任域配置。默认情况下,安全网关会使用缺省PKI信任域“trust_domain_ssl_proxy”中的证书对Web服务器证书重新签发,生成SSL代理证书。用户也可以将系统中其它PKI信任域指定为设备证书信任域,该PKI信任域必须配有CA证书、本地证书以及本地证书对应的私钥。
    1. 在<信任域>下拉菜单选中需要的信任域。
    2. 点击『确定』按钮保存所做配置并返回上一级对话框。
  9. 点击『确定』按钮,保存所做配置并返回上一级对话框/页面。

完成以上配置后,由于进行SSL代理时,安全网关会用SSL代理证书替换SSL Web站点的证书,并发送到客户端Web浏览器。但是客户端浏览器不拥有SSL代理证书的根证书,从而导致用户不能正常访问代理站点。为了解决这个问题,用户需要在客户端浏览器中导入SSL代理证书的根证书,也即设备证书。关于导入设备证书到客户端PC浏览器的详细信息,请参阅下节导入设备证书到客户端Web浏览器

获取网站证书的CommonName字段

获取网站证书Subject字段的CommonName字段,请按照以下步骤进行操作(以需要获得www.gmail.com网站证书Subject字段的CommonName字段为例):

  1. 从WebUI页面左侧导航树选择并点击“配置控制网页关键字/Web外发信息/邮件过滤”,进入功能页面。
  2. 从页面右侧辅助栏的<任务>区选择『SSL代理』链接,弹出<SSL代理>对话框。
  3. 选中<HTTPS访问审计>对应的<启用>复选框。
  4. 在<审计内容>部分指定审计方式为“只审计下表指定网站”,但不添加审计网站。
  5. 在<审计用户>部分指定审计用户。
  6. 点击『确定』按钮,保存所做配置并返回上一级对话框/页面。
  7. 在Web浏览器中访问“www.gmail.com”。
  8. 从WebUI页面左侧导航树选择并点击“日志攻击安全日志”,进入安全日志页面。在<安全日志列表>中查看网站证书的CommonName字段,如下图所示:

    从列表中可以看到www.gmail.com网站证书Subject字段的CommonName字段为“www.google.com”、“*.mail.google.com”、“*.google.com”、“www.googleadservices.com”、“*.google-analytics.com”和“mail.google.com”。

导入设备证书到客户端Web浏览器

进行SSL代理时,安全网关会用SSL代理证书替换SSL Web站点的证书,并发送到客户端Web浏览器。由于客户端浏览器不拥有SSL代理证书的根证书,从而导致用户不能正常访问代理站点。为了解决这个问题,需要在客户端浏览器中导入SSL代理证书的根证书,也即设备证书。

导入设备证书到客户端PC浏览器, 请按照以下步骤进行操作:

  1. 导出安全网关证书。从工具栏的<对象用户>下拉菜单选择『PKI』,弹出<PKI管理>对话框。在<管理>标签页做以下配置:
  2. 点击『确定』按钮并选择导出路径。证书将会输出到指定路径。
  3. 导入证书到客户端PC浏览器。在客户端Web浏览器(以Internet Explorer为例)选择“工具>Internet选项>内容>证书>受信任的根证书颁发机构”。点击列表下方的『导入』按钮,弹出<证书导入向导>,按照向导提示将安全网关证书导入到浏览器。参见下图: