防火墙如何把HTTPS的证书替换成CA证书来消除浏览器的不安全提示？

需要导入配置 证书：

1，配置SSL服务器端策略需要引用PKI域，首先新建PKI域。
        如下图所示，在防火墙Web界面【对象/PKI/证书】菜单栏中点击【新建PKI域】按钮，新建一个名称为“test”的PKI域。

2，然后为新建的PKI域导入CA证书和本地证书

3，证书可以通过  Microsoft Active Directory 证书服务 或者 Linux OpenSSL 来进行获取。如果需要权威CA证书，则需要向权威CA机构付费获取。防火墙flash包含一个自签名证书，https和sslvpn默认使用的就是这个自签名证书，可以将这个证书导出将公钥和私钥分离后分别作为CA证书和本地证书导入创建的PKI域，操作如下：

3.1，使用FTP或者SFTP的方式从防火墙的/pki/文件夹下获取对应的https-server.p12证书文件放置桌面。

3.2，双击证书文件，将导出的证书再导入到本地PC中，用来分离出不含私钥的CA证书。

3.3，由于防火墙自带的自签名证书没有对私钥进行口令保护，所以这里无须输入密码，直接点击“下一步”。

3.4，将证书存储在【个人】目录下，继续点击“下一步”并“完成”。

3.5，导入到设备的证书可以再IE浏览器中查看，选中IE浏览器的【Internet选项/内容/证书/个人】菜单，即可看到导入的H3C自签名证书。

3.6，将导入到设备的证书进行导出，即可生成不含私钥的CA证书。

3.7，这样1分2，经过IE浏览器操作产生的证书即可以作为PKI域的CA证书，从设备导出的原始证书作为PKI域的本地证书，再次导入设备。

3.8，经过上述一系列操作，PKI域配置完成，如下：

4，新建一个SSL服务器端策略“test"并引用创建好的PKI域“test"，同时将【加密套件】已选的包含RC4的算法剔除，并点击【确定】。

5，HTTPS使能SSL服务器端策略