-CONF-07- 内容识别的配置和根证书的安装测试指导书目 录 1 应用场景1 2 配置步骤1 3测试效果4 4注意事项7 1 应用场景、等加密网页,访问采用ssl加密方式访问的时候,主要是使用安全证 书来实现身份效验以及传输的加密,AC设备通过伪造安全证书,代理客户端的访问来实现 对传输的加密信息进行识别,从而达到内容的审计,以及行为的控制必要条件说明:1、准备一台AC/SG11.X版本的设备2、和客户沟通清楚哪些https 网站需要解密,ssl内容识别填写需要解密的网站地址, 本案例以为例1、 2 配置方式及截图 2.1、基本部署配置AC配置好部署模式,如果内网是三层环境配置好内网的静态路由。此案例中根据客户 环境AC配置为路由模式部署 2.2、密码认证配置配置认证策略-认证策略设置为密码认证;用户组中事先添加好本地密码认证的账号 pht密码123 2.3、上网权限配置 配置上网权限策略,启用SSL 内容识别,域名列表中添加好要解密的网址 2.4、配置 “安装SSL识别根证书” 【用户认证与管理】- 【认证高级选项】- 【安装SSL识别根证书】勾选 “要求安装根证书” 【说明】: 1、适用范围:填写内网需要安装设备根证书的范围 排除地址列表:内网个别不需要安装设备根证书的终端可以添加排除地址列表;比如 的移动终端。
适用域名:终端访问适用域名填写的域名(非HSTS)后会提示终端安装根证书; 2、当认证策略设置为不需要认证或单点登录时 A、终端必须访问 “安装SSL识别证书”适用域名填写的域名,设备才会重定向根证书安装 或检测页面给终端; B、此时为了提高终端用户打开网页重定向到根证书安装或检查页面的成功率也可以勾选“对 80端口的HTTP请求强制重定向到证书安装页面” 3 测试效果 3.1、 内网访问任何一个网站会跳转到Web认证界面,终端输入账号密码认证 3.2、 密码认证成功,AC会重定向根证书安装界面提示终端安装根证书 【说明】:1 1、如果PC之前已经安装过设备根证书此时是跳转到证书检测页面最后跳转到客户 原本访问的URL或者设置的 “认证通过后跳转”页面。2 2、每次认证都会重定向到监测页面。 3.3、 终端运行安装根证书,根证书安装成功此时需要关闭浏览器让证书安装生效 3.4 重新打开浏览器,查看浏览器证书发现设备根证书在 “受信任的根证书颁发机构” 3.5、 此时访问SSL 内容识别需要解密的网站,此时不会再弹出来安全告警页面。 3.6、证书安装成功后,qq加密邮箱的审计测试效果如下: 4 注意事项 4.1、认证策略为密码认证,终端访问任何域名都会先跳转到web认证界面,对于从未安装 过设备根证书的浏览器,第一次认证通过后会跳转到证书安装界面,不会跳转到“认证跳转 后”设置的页面;第二次认证时 “认证跳转后”设置页面。
4.2、如果客户认证策略设置的是不需要认证或单点登录,此时终端上网可能并没有打开过 网页就通过了设备认证配置burpsuit谷歌浏览器证书及HSTS问题处理,AC无法通过网页的重定向检查页面得知终端是否有安装过设备证 书从而无法给终端推送证书安装页面、给终端用户打上终端证书检查通过的标机或放行标 记;此时建议终端打开“安装SSL识别根证书”适用域名所填写的网页列表,通常打开常用 的网页就能命中。 4.3、认证策略是不需要认证或单点登录时,为了提高终端用户打开网页重定向到根证书安 装或检查页面的成功率也可以勾选 “对80端口的HTTP请求强制重定向到证书安装页面”, 但是如果终端用户上网时没有打开网页,此时如果终端后台程序有使用80端口通信那么一 些应用会受到影响,所以最好建议客户每次上网前要打开一次网页;如果在测试实施过程中 客户的访问习惯就是不能每次上网前打开网页,如遇到后台访问80 的应用受到影响也可以 抓包反馈给总部TD来排查。 4.4、终端支持情况说明:1 支持 、MAC OS、IOS2 为下载的exe程序,下载后双击安装A. 测试过支持 XP、2003、win7、win8、win8.1、win10 (含64位系统)B. 测试过支持 IE7~IE11、Edge、 49~ 52、 38+ (注:IE高级选项中不能勾选SSL2.0,否则加载不了证书检测页面,目前只有IE6才是默认勾的)3 MAC OS为下载的zip压缩包,解压后双击安装A. 测试过 MAC OS 10.7、10.10版本B. 测试过 、 (注:不支持,只能手动为导入证书)4 IOS为下载.crt证书下载链接,浏览器点击时系统打开 “凭证管理器”进 行安装A. 测试过 点击时系统能打开 “凭证管理器”B. 测试过 等点击时显示页面无法加载,而浏览器等在无法加载的情况下仍会引导用户尝试使用去打开。
5 不支持 、Linux等原因:不同版本、不同手机生产商导入根证书的方法不同;最麻烦的一类是要先Root掉手机,再mount根分区为读写,才能导证书的。解决方案:手动安装证书,不同的手机生产商的手动导入证书的方法不一样详情到网上收索。如客户不手动针对安装证书,手机每次上网时建议主动打开适用域名列表的网页或者开启“对80端口的HTTP请求强制重定向到证书安装页面”后随便打开一个网页;我们设备会针对这个用户标记放行的标志。 4.5、需要注意的特殊性,安装版的最少要运行过一次,绿色版的 要运行着再执行证书安装工具。是自己的证书库,存放到自己的目录。 --安装版的是一个固定的目录,但名字是随机的,至少要运行一次才能生成这个随机名的目 录。 --绿色版的可以随便放任何目录,所以要运行着,我们的程序才能知道它在哪里。 4.6、 IE浏览器不能勾SSL2.0协议,不然访问证书检测页面会卡住。 --默认情况下只有IE6有勾,而且SSL2.0是不安全的协议了,外网很多都废弃了,所以这 个问题基本不会遇到。
4.7、SSL 内容识别域名列表以及安装SSL识别根证书适用域名列表,请不要填写HSTS 的网 站,填写后会导致这些网站访问有问题;有的时候一些主域名并非HSTS但是子域名有可能 是 HSTS 的情况例如:如果列表中有 ,虽然 没有 HSTS,但 是HSTS 的,因此会受到影响。网页是否属于HSTS后续会给出工具来判断。 4.8、如果不装SSL根证书,打开会有告警配置burpsuit谷歌浏览器证书及HSTS问题处理,效果图如下: 技术支持用户支持邮箱:@技术支持热线电话: (手机、固话均可拨打)深信服社区:技术支持在线咨询:进入深信服官网或深信服社区,选择在线咨询技术支持7*24小时智能机器人:①、进入深信服社区,页面右侧悬浮框进入 “智能客服”②、关注微信公众号 “深信服技术服务”,选择深信服社区-智能服务
评论留言