SSL代理配置

本节主要介绍SSL代理配置。

配置SSL代理功能

配置SSL代理功能，请按照以下步骤进行操作：

1. 从页面左侧导航树选择并点击“配置控制网页关键字/Web外发信息/邮件过滤”，进入功能页面。
2. 从页面右侧辅助栏的<任务>区选择『SSL代理』链接，弹出<SSL代理>对话框。
3. 选中<HTTPS访问审计>对应的<启用>复选框，启用SSL代理功能。
4. 在<审计内容>部分配置审计方式和审计网站。
   1. 在<审计方式>下拉菜单中选择需要的审计方式，包括“只审计下表指定网站”和“审计所有网站，但排除下表指定网站”。
      只审计下表指定网站：对使用列表中网站证书加密的通信进行SSL代理，发送SSL代理证书到客户端Web浏览器，对使用其它网站证书加密的通信不进行SSL代理。
      审计所有网站，但排除下表指定网站：不对使用列表网站证书加密的通信进行SSL代理，直接将SSL Web站点证书转发到客户端Web浏览器，对使用其它网站证书加密的通信进行SSL代理。
   2. 在<审计网站>文本框中输入网站证书Subject字段的CommonName字段。关于如何获得网站证书Subject字段的CommonName字段，请参阅下节获取网站证书的CommonName字段。
   3. 点击『添加』按钮将审计网站添加到下方的网站列表中。如需编辑/删除审计网站，单击选中网站列表中需要编辑/删除的审计网站，点击列表右侧的『编辑』/『删除』按钮。
5. 如需要，选中<警告提示>对应的<启用>复选框，启用警告提示功能。
6. 点击<审计用户>对应的『设置』链接，弹出<审计用户配置>对话框。在该对话框配置需要进行审计的用户。
   1. 在<审计方式>下拉菜单选中需要的审计方式，包括“只审计下表指定用户”和“审计所有用户，但排除下表指定用户”。
   2. 在<配置类型>部分指定需要的审计用户类型，包括“源地址”和“用户”。选中所需类型的单选按钮并完成相关参数配置。
      源地址：指定“源地址”配置类型，可以为地址簿条目、IP和IP范围之间的任意组合。在<用户类型>下拉菜单选中需要的用户类型，如果选中“地址簿”，需要在<地址簿>下拉菜单选中需要的地址条目或者选中“新建地址簿”，在弹出的<配置地址簿>对话框配置需要的地址条目；如果选中“IP”，需要在<IP地址>文本框输入IP地址和网络掩码；如果选中“IP范围”，需要在<IP范围>文本框输入范围的起始IP。
      用户：指定“用户”配置类型，可以为角色、用户和用户组之间的任意组合。在<用户类型>下拉菜单选中需要的用户类型，如果选中“角色”，需要在<角色>下拉菜单选中需要的角色；如果选中“用户”，需要在<AAA服务器>下拉菜单选中服务器并在<用户名>下拉菜单选中用户名；如果选中“用户组”，需要在<AAA服务器>下拉菜单选中服务器并在<用户组名>下拉菜单选中用户组名。
   3. 点击『添加』按钮，将“源地址”或者“用户”配置类型添加进下方的用户列表中。如需要删除用户，单击选中用户列表中的用户条目，点击『删除』按钮。
   4. 点击『确定』按钮，保存所做配置并返回上一级对话框。
7. 点击<可信SSL证书>对应的『设置』链接，弹出<可信SSL证书设置>对话框。在该对话框进行导入或者删除可信SSL证书配置。可信SSL证书列表中包含业内广泛认可的CA证书，用于设备替换SSL Web站点证书前验证站点证书的合法性。如果合法，设备会将系统SSL代理证书下发给客户端Web浏览器；如果不合法，设备会下发系统内置证书，该内置证书会在Subject字段中表明该证书不可信，从而提醒用户对该站点的访问。
   • 导入：点击该按钮，在弹出<的导入证书>对话框中点击『浏览』按钮，选中证书文件，点击『确定』按钮，系统开始上传SSL证书。
   • 删除：单击选中列表中的SSL证书，点击『删除』按钮，删除相应的可信SSL证书。
   • 关闭：点击该按钮，关闭对话框。
8. 点击<信任域>对应的『设置』链接，弹出<信任域设置>对话框。在该对话框进行设备证书的PKI信任域配置。默认情况下，安全网关会使用缺省PKI信任域“trust_domain_ssl_proxy”中的证书对Web服务器证书重新签发，生成SSL代理证书。用户也可以将系统中其它PKI信任域指定为设备证书信任域，该PKI信任域必须配有CA证书、本地证书以及本地证书对应的私钥。
   1. 在<信任域>下拉菜单选中需要的信任域。
   2. 点击『确定』按钮保存所做配置并返回上一级对话框。
9. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

完成以上配置后，由于进行SSL代理时，安全网关会用SSL代理证书替换SSL Web站点的证书，并发送到客户端Web浏览器。但是客户端浏览器不拥有SSL代理证书的根证书，从而导致用户不能正常访问代理站点。为了解决这个问题，用户需要在客户端浏览器中导入SSL代理证书的根证书，也即设备证书。关于导入设备证书到客户端PC浏览器的详细信息，请参阅下节导入设备证书到客户端Web浏览器。

获取网站证书的CommonName字段

获取网站证书Subject字段的CommonName字段，请按照以下步骤进行操作（以需要获得www.gmail.com网站证书Subject字段的CommonName字段为例）：

1. 从WebUI页面左侧导航树选择并点击“配置控制网页关键字/Web外发信息/邮件过滤”，进入功能页面。
2. 从页面右侧辅助栏的<任务>区选择『SSL代理』链接，弹出<SSL代理>对话框。
3. 选中<HTTPS访问审计>对应的<启用>复选框。
4. 在<审计内容>部分指定审计方式为“只审计下表指定网站”，但不添加审计网站。
5. 在<审计用户>部分指定审计用户。
6. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
7. 在Web浏览器中访问“www.gmail.com”。
8. 从WebUI页面左侧导航树选择并点击“日志攻击安全日志”，进入安全日志页面。在<安全日志列表>中查看网站证书的CommonName字段，如下图所示：
   
   从列表中可以看到www.gmail.com网站证书Subject字段的CommonName字段为“www.google.com”、“*.mail.google.com”、“*.google.com”、“www.googleadservices.com”、“*.google-analytics.com”和“mail.google.com”。

导入设备证书到客户端Web浏览器

进行SSL代理时，安全网关会用SSL代理证书替换SSL Web站点的证书，并发送到客户端Web浏览器。由于客户端浏览器不拥有SSL代理证书的根证书，从而导致用户不能正常访问代理站点。为了解决这个问题，需要在客户端浏览器中导入SSL代理证书的根证书，也即设备证书。

导入设备证书到客户端PC浏览器， 请按照以下步骤进行操作：

1. 导出安全网关证书。从工具栏的<对象用户>下拉菜单选择『PKI』，弹出<PKI管理>对话框。在<管理>标签页做以下配置：
• 信任域： trust_domain_ssl_proxy
• 内容：本地证书
• 行为：导出
点击『确定』按钮并选择导出路径。证书将会输出到指定路径。
2. 导入证书到客户端PC浏览器。在客户端Web浏览器（以Internet Explorer为例）选择“工具>Internet选项>内容>证书>受信任的根证书颁发机构”。点击列表下方的『导入』按钮，弹出<证书导入向导>，按照向导提示将安全网关证书导入到浏览器。参见下图：