产品文档
Citrix Secure Web Gateway
12.1
查看 PDF
感谢您提供反馈

这篇文章已经过机器翻译.放弃

  切换到英文

SSL 截获证书存储

April 27, 2021
投稿者: 
C

SSL 证书是任何 SSL 交易的一个组成部分,是标识公司(域)或个人的数字数据表格 (X509)。SSL 证书由证书颁发机构 (CA) 颁发。CA 可以是专用的或公共的。公共 CA 颁发的证书(例如 Verisign)由执行 SSL 事务的应用程序信任。这些应用程序维护一个受信任的 CA 列表。

作为转发代理,Citrix Secure Web Gateway (SWG) 设备对客户端和服务器之间的流量执行加密和解密。它充当客户端(用户)的服务器和服务器的客户端。设备在处理 HTTPS 流量之前,必须验证服务器的身份,以防止任何欺诈事务。因此,作为源服务器的客户端,设备必须先验证原始服务器证书,然后才能接受该证书。要验证服务器的证书,设备上必须存在用于签名和颁发服务器证书的所有证书(例如,根证书和中间证书)。在设备上预安装了一组默认 CA 证书。Citrix SWG 可以使用这些证书来验证几乎所有常见的源服务器证书。无法修改此默认集。但是,如果您的部署需要更多 CA 证书,则可以创建此类证书的捆绑包并将该捆绑包导入设备。捆绑包还可以包含单个证书。

将证书捆绑导入设备时,设备会从远程位置下载该捆绑包,并在验证捆绑包是否仅包含证书后,将其安装在设备上。必须先应用证书捆绑,然后才能使用它验证服务器证书。您还可以导出证书捆绑包以进行编辑或将其作为备份存储在脱机位置。

使用 Citrix SWG CLI 在设备上导入和应用 CA 证书包

在命令提示符下,键入:

import ssl certBundle <name> <src>
 
apply ssl certBundle <name>
 
show ssl certBundle

参数

名称:

要分配给导入的证书捆绑的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。以下要求仅适用于 CLI:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的文件”或“我的文件”)。

最大长度:31

src

指定要导入或导出的证书捆绑包的协议、主机和路径(包括文件名)的 URL。例如 http://www.example.com/cert\_bundle\_file

注意:如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入失败。

最大长度:2047

示例

import ssl certbundle swg-certbundle http://www.example.com/cert_bundle
 
apply ssl certBundle swg-certbundle
 
show ssl certbundle

            Name : swg-certbundle(Inuse)

            URL : http://www.example.com/cert_bundle

    Done

使用 Citrix SWG GUI 在设备上导入和应用 CA 证书包

  1. 导航到 Secure Web Gateway > 入门 > 证书捆绑包
  2. 执行以下操作之一:
    • 从列表中选择证书捆绑包。
    • 要添加新的证书捆绑包,请单击 “+” 并指定名称和源 URL。单击确定
  3. 单击确定

使用 CLI 从设备中删除 CA 证书捆绑包

在命令提示符下,键入:

remove certBundle <cert bundle name>

示例

remove certBundle mytest-cacert

使用 Citrix SWG CLI 从设备导出 CA 证书包

在命令提示符下,键入:

export certBundle <cert bundle name> <Path to export>

参数

名称:

要分配给导入的证书捆绑的名称。必须以 ASCII 字母数字或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、位于 (@)、等于 (=) 和连字符 (-)。以下要求仅适用于 CLI:

如果名称包含一个或多个空格,请将名称用双引号或单引号括起来(例如,“我的文件”或“我的文件”)。

最大长度:31

src

指定要导入或导出的证书捆绑包的协议、主机和路径(包括文件名)的 URL。例如 http://www.example.com/cert\_bundle\_file

注意:如果要导入的对象位于需要客户端证书身份验证才能访问的 HTTPS 服务器上,则导入失败。

最大长度:2047

示例

export certBundle mytest-cacert http://192.0.2.20/

从 Mozilla CA 证书存储中导入、应用和验证 CA 证书捆绑包

在命令提示符下,键入:

> import certbundle mozilla_public_ca https://curl.haxx.se/ca/cacert.pem
Done

要应用捆绑包,请键入:

> apply certbundle mozilla_public_ca
Done

要验证正在使用的证书捆绑包,请键入:

> sh certbundle | grep mozilla
    Name : mozilla_public_ca (Inuse)

限制

群集设置中或分区的设备上不支持证书捆绑包。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译,仅供您参考。Cloud Software Group 无法控制机器翻译的内容,这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性,或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容,我们均不作任何明示或暗示的保证,并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议(产品或服务与已进行机器翻译的任何文档保持一致)下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题,Cloud Software Group 不承担任何责任。
本服务可能包含由 Google 提供技术支持的翻译。Google 对这些翻译内容不做任何明示或暗示的保证,包括对准确性、可靠性的任何保证以及对适销性、特定用途的适用性和非侵权性的任何暗示保证。
SSL 截获证书存储
April 27, 2021
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999-2025 Cloud Software Group, Inc. All rights reserved.