终端导入证书了吗? 终端要导入相应证书
参考下案例:
3 使用限制
· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
· HTTPS解密策略所需证书为CA证书。
· 部分邮箱客户端(网易邮箱大师/闪电邮)的SMTP是使用的TLS加密,TLS加密不支持解密。
· 部分HTTPS站点的客户端会进行证书校验,会显示非安全连接。
4 配置举例
4.1 客户端解密配置举例
4.1.1 组网需求
如图1所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用设备的ge2和ge3接口路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。在设上启用解密策略功能。
4.1.2 配置思路
· 配置需要审计的HTTPS对象;
· 生成CA证书;
· 导入本地证书;
· 启用审计策略;
· 启用解密策略;
· 引用证书。
4.1.3 使用版本
本举例是在R6618版本上进行配置和验证的。
4.1.4 配置注意事项
· 解密策略用的证书为CA证书,先在证书管理>根CA配置管理页面生成CA证书,再导出证书至PC本地。
· DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。
· 代理模块需要和客户端建立SSL连接,因此需要给客户端安装证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。
· 邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。
· 如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。
4.1.5 配置步骤
1. 配置HTTPS对象
如图2所示,进入“策略配置>对象管理>URL对象>HTTPS对象”,点击<新建>。
2. 生成CA证书
如图3所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图3 生成CA根证书
如图4所示,在生成CA证书以后,导出证书。
图4 导出CA证书
3. 导入本地证书
如图5所示,进入“策略配置>对象管理>本地证书>证书>本地证书”,点击<导入>,选择之前生成的CA证书。
4. 启用审计策略。
如图6所示,进入“策略配置>审计策略”,点击<新建>,配置审计策略,选择所有审计对象。
图6 启用审计策略
如图7所示,创建成功的审计策略如下:
5. 启用解密策路,开启站点解密和邮箱解密
如图8所示,进入“策略配置>SSL解密策略”,点击<新建>,配置解密策略。
6. 引用证书
进入“策略配置>SSL解密策略”,点击<证书列表>,引用生成证书。(https管理端口为443时,需要在系统管理 > 系统设定 > 管理设定下把https端口改为非443端口,然后再引用证书)
图9 配置https端口
4.1.6 验证配置
(1) 验证审计日志里的搜索引擎日志。
如图11所示,进入“数据中心>日志中心>审计日志>搜索引擎日志”查看,发现已经审计到用户访问百度的搜索引擎内容,并正确地记录了日志。
(2) 验证审计日志里的邮箱日志。
如图12所示,进入“数据中心>日志中心>审计日志>邮件日志”,可以看到办公网段已经被正确记录了所有SSL邮箱日志。
(3) 验证审计日志里的网站访问日志。
如图13所示,进入“数据中心>日志中心>审计日志>访问网站日志”查看,发现已经审计到用户访问百度的访问网站内容,并正确地记录了日志。
4.1.7 终端证书导入方法
1. PC浏览器证书导入方法
(1) IE/chrome浏览器证书的导入【适用于除Firefox以外的浏览器】
a. 下载证书【https.cer】到PC。
b. 双击打开证书【https.cer】,选择安装证书。
c. 选择证书存储位置【二者皆可】
d. 选择【将所有证书放入下列存储】
e. 点击【浏览】选择【受信任的根证书颁发机构】然后【下一步】
f. 确认信息点击【完成】
(2) Firefox浏览器证书的导入
a. 打开Firefox浏览器,选择【选项】
b. 选择【高级】——【证书】——【查看证书】
c. 进入【证书机构】——选择【导入】
d. 选择【https.cer】点击【打开】
e. 【全部勾选三个信任提示】——【确定】
f. 确认导入的证书点击【确定】
注:浏览器导入证书需要清除缓存以后重新打开浏览器!
2. 移动终端证书导入方法
(1) 安卓证书导入
a. 将证书放置http网站。
b. 点击下载证书
c. 下载成功后,选择“打开”证书。
d. 证书安装器会弹出“为证书命名”,并且凭据用途要先选择“WLAN”。
e. 凭据用途选择“VPN和应用”再安装一次。
f. 进入手机“安全与隐私”,选择“受信任的凭据”中“用户”查看证书是否安装成功。
如果未成功,选择在“安全与隐私”中“从SD卡安装证书”,找到证书路径,重复上述步骤安装证书。
(2) 苹果IOS证书导入
a. 将证书放置http网站。
b. 点击下载证书
c. 选择“允许”后,iphone会直接跳转到安装界面。
d. 选择“安装”
对于有些设置了密码的手机,当点击安装后,会跳出以下输入密码的界面,输入自身手机的开机密码即可:
e. 安装后描述文件显示“已验证”。
f. 进入“通用”—“关于本机”—“证书信任设置”
g. 在证书勾选信任。
1. 证书信任问题
确认ACG已生成/导入CA根证书:display ssl ca-certificate
将根证书分发至所有客户端浏览器的信任列表(未信任会触发浏览器安全告警,导致网页无法打开)
2. 排除HSTS站点
百度、京东部分域名启用HSTS,无法解密,需在SSL策略中排除:
ssl decrypt policy 10
rule 30 permit destination domain "baidu.com" // 若解密失败,改为deny排除
rule 40 permit destination domain "***.***"
3. 性能检查
查看设备负载:display cpu-usage、display memory-usage,负载过高会导致解密失败,需缩小解密范围。
二、实现搜索内容可见关键配置:
1. 配置SSL解密策略(针对搜索流量)
ssl decrypt policy 10
rule 10 permit destination domain "baidu.com"
rule 20 permit destination domain "***.***"
action decrypt
2. 配置内容审计策略
content-audit policy 10
rule 10 permit application http https
action audit content
3. 绑定策略到透明接口
interface GigabitEthernet0/1 // 入方向接口
ssl decrypt policy 10 inbound
content-audit policy 10 inbound
重要提醒:操作前备份配置;HSTS站点无法解密,需提前测试排除,避免影响业务。
暂无评论
开启SSL解密后部分网页无法打开,比如你遇到的某些网页直接打不开,这通常是由以下几个核心原因造成的。别担心,我们可以一步步定位和解决。
问题原因
软件与协议兼容性问题:设备固件版本过低可能导致兼容性问题,尤其是与新版浏览器默认使用的 TLS 1.3协议 的兼容性不尽理想,导致流量被误判或阻断。
DNS配置问题:如果设备DNS设置为全局模式,内网PC的DNS必须指向ACG设备的入接口,否则DNS请求不经过设备,会导致域名解析失败,解密策略也就无法生效。
证书问题:SSL解密需要用设备生成的CA证书替换服务器的原始证书,但浏览器会检查该证书是否可信。如果客户端没有正确安装并信任设备的CA根证书,浏览器就会弹出“不安全连接”的警告。
NAT及路由配置问题:在透明模式下,还需确保ACG设备的网桥接口能正常访问外网。例如,若出口防火墙上未对网桥接口IP做NAT放通,可能会导致外网数据无法返回。
审计策略级别配置不当:在创建审计策略时,日志级别必须设置为“信息”,否则设备不会记录审计日志。
核心排查与解决方案
| 排查方向 | 具体问题描述 | 解决方法 |
|---|---|---|
| 检查设备版本 | 设备版本过低,可能不支持TLS 1.3协议。 | 升级设备固件至 R6616P04 或更高版本。 |
| 客户端证书推送 | 内网PC未安装或未信任ACG下发的CA根证书。 | 使用 “证书推送” 功能,实现证书自动、静默安装。 |
| 审计策略日志级别 | 策略的日志级别未设置为“信息”。 | 将审计策略的日志级别修改为 “信息”。 |
| DNS与路由策略 | 网桥接口无法与外网通信,或DNS配置不当。 | 1. 为网桥接口配置IP地址。 2. 添加默认路由指向出口网关。 3. 在外部防火墙上放行网桥接口地址的网络地址转换(NAT)。 4. 确保DNS能到达ACG设备。 |
查看审计结果
配置成功后,查看审计日志的具体路径如下:
搜索引擎日志:
数据中心 > 日志中心 > 审计日志 > **搜索引擎日志**网站访问日志:
数据中心 > 日志中心 > 审计日志 > **网站访问日志**
暂无评论
一、为什么要 SSL 解密才能看到搜索关键字
- 没解密:ACG 只能看到
https://www.baidu.com,看不到搜了什么 - 解密后:ACG 能看到 HTTP 明文,就能审计
wd=xxx、keyword=xxx等搜索参数
用户的 DNS 请求必须经过 ACG 设备,否则解密策略不生效、甚至上网异常。
二、透明模式 SSL 解密 + 审计 正确配置(ACG1000-B100)
1. 网络基础(透明桥)
- 把上联 / 下联口加入网桥(如 ge1 = 内网,ge2 = 外网)
网络配置 → 接口 → 网桥接口 → 新建(BVI 1)
成员接口:ge1、ge2
管理IP:随便设一个(如192.168.1.254/24)
- 关键:DNS 透明代理(让 DNS 过设备)
网络配置 → DNS → DNS透明代理 → 启用
- 内网 PC 的 DNS不用改,还是原来的网关 / 公网 DNS
- 设备会拦截 53 端口 DNS,确保解密策略能拿到域名
2. 生成 / 导入 SSL 解密证书(必须)
策略配置 → SSL解密策略 → 证书管理 → 生成CA证书
名称:acg-ca
有效期:3650天
导出证书:acg-ca.crt(发给用户安装)
3. 配置 SSL 解密策略(只解密你要审计的网站)
策略配置 → SSL解密策略 → 新建
名称:decrypt-baidu-jd
动作:解密并审计
源:内网网段(如192.168.0.0/24)
目的URL:
*.baidu.com
*.***.***
*.***.***(可选)
引用证书:acg-ca
重点:只对百度、京东等目标网站解密;网银、支付、旧系统、政府网站不要解密,直接放行。
4. 配置审计策略(记录搜索关键字)
策略配置 → IPv4策略 → 新建
名称:audit-search
源:内网网段
目的:任意
服务:任意
动作:允许
应用审计:启用
勾选:搜索引擎、电子商务
详细审计:搜索关键字、URL参数
引用SSL解密策略:decrypt-baidu-jd
5. 安装根证书到用户电脑(解决 “不安全” 提示)
- 从 ACG 导出
acg-ca.crt - 分发到内网 PC,双击安装 → 本地计算机 → 受信任的根证书颁发机构
- 浏览器重启,访问百度 / 京东不再报错
三、开了解密后网页打不开?常见原因 + 解决
1. 原因 1:DNS 没过设备(最常见)
- 现象:部分网站能开,部分白屏 / 超时
- 解决:必须开启 DNS 透明代理,且内网 DNS 请求走 ACG 桥接口
2. 原因 2:解密了不该解密的网站
3. 原因 3:证书没装 / 不被信任
- 现象:浏览器报 “不安全”“连接不是私密连接”
- 解决:所有内网 PC 必须安装 ACG 的根证书
4. 原因 4:透明模式下桥接 / 路由混配
- 现象:随机断网、时通时断
- 解决:
- 透明模式:只配网桥,不要配默认路由(除非管理用)
- 所有业务流量走桥接,不要绕路由
5. 原因 5:TLS 版本 / 加密套件不兼容
- 现象:新网站能开,老 HTTPS 站点打不开
- 解决:
策略配置 → SSL解密策略 → 高级设置
TLS最低版本:TLSv1.0(兼容老站)
加密套件:勾选所有兼容套件
四、验证:确实看到搜索关键字
百度一下:ACG透明模式SSL解密在 ACG 日志中心:数据中心 → 日志中心 → 审计日志 → 搜索引擎日志
可见:源IP、时间、搜索引擎=百度、关键字=ACG透明模式SSL解密
五、给你一套可直接复制的策略逻辑
- SSL 解密策略:仅解密
*.baidu.com、*.***.***、*.***.***,其他不解密 - 审计策略:对解密流量审计搜索关键字
- DNS 透明代理:全局开启
- 根证书:全内网 PC 安装
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论