配置在Firepower模块的SSL解密使用ASDM在箱上管理-Cisco.PDFVIP

配置在Firepower模块的SSL解密使用ASDM (在 箱上管理) 目录 简介 先决条件 要求 使用的组件 背景信息 出站SSL解密  入站SSL解密 SSL解密的配置 出站SSL解密(解密-辞职) 步骤1.配置CA证书。 步骤2.配置SSL策略。 步骤3.配置访问控制策略 入站SSL解密(解密-知道) 步骤1.导入服务器证书并且锁上。 步骤2.导入CA证书(可选)。 步骤3.配置SSL策略。 步骤4.配置访问控制策略。 验证 故障排除 相关信息 简介 使用ASDM (在箱上管理)，本文描述安全套接字协议层(SSL)解密的配置在Firepower模块的。 先决条件 要求 Cisco 建议您了解以下主题：   ASA (可适应安全工具)防火墙知识， ASDM (可适应安全设备管理器) Firepower设备知识 HTTPS/SSL协议知识 使用的组件 本文档中的信息基于以下软件和硬件版本： 运行软件版本6.0.0的ASA Firepower模块(ASA 5506X/5506H-X/5506W-X， ASA 5508-X， ASA 5516-X)以上   ASA Firepower模块(ASA 5515-X， ASA 5525-X， ASA 5545-X， ASA 5555-X)运行软件版本 6.0.0以上 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 Note:保证Firepower模块有一个保护许可证配置此功能。要验证许可证，请导航对 Configuration ASA Firepower Configuration许可证。 背景信息 Firepower模块解密并且检查重定向对它的入站和出站SSL连接。一旦流量解密，被建立隧道的应用 程序例如facebook聊天等，检测并且被控制。解密的数据被检查威胁、URL过滤、文件阻塞或者恶 意的数据。  出站SSL解密  火力模块作为出站SSL连接的向前代理通过拦截出站SSL请求和重新生成用户要访问的站点的一证 书。 发出的权限(CA)是Firepower自签名证书。如果火力的证书不作为存在层级的部分或，如果没 有被添加到客户端的浏览器缓存，客户端收到警告，当浏览到安全站点时。解密Resignmethod用于 进行出站SSL解密。  入站SSL解密 一旦对内部网络服务器或设备的入站数据流，管理员导入已保护服务器证明和密钥的复制。当 SSL服务器证书在火力模块时装载，并且SSL解密策略为入站数据流配置，然后设备解密和检查流 量，当转发流量。模块然后检测有恶意的内容，威胁，漫过此安全信道的恶意软件。而且，解密知 道的Keymethod用于进行入站SSL解密。     SSL解密的配置 有SSL流量解密两个方法。  解密-为出站SSL流量辞职 解密-知道为入站SSL流量 出站SSL解密(解密-辞职) Firepower模块作为MITM (man-in-the-middle)公共SSL服务器的所有SSL协商的。它辞去在火力模 块配置公共服务器的证书有一个半成品CA证书的。  这些是配置出站SSL解密的三个步骤。  步骤1.配置CA证书。 配置或者自签名证书或证书的一个中间委托CA证书辞职。  配置自已签署的CA证书 为了配置自已签署的CA证书，请导航对Configuration ASA Firepower Configuration对象 Management PKI 内部CA并且点击Generate CA。系统提示关于CA证书的详细信息。如镜像所 显示，根据您的需求填满详细信息。 点击Generate自已签署的CA生成内部CA证书。然后请点击Generate CSR生成因而共享以CA服务 器签字的证书签名请求。  配置半成品CA证书 为了配置由另一个第三方CA签字的半成品CA证书，请导航对Configuration ASA Firepower Configuration对象Management PKI 内部CA并且点击导入CA。  指定Nameof证书。select浏览并且上传从本地设备或复制-粘贴的证书证书的内容在身份验证数据选 项的。为了指定证书的专用密钥，请浏览关键文件或复制-粘贴在关键选项的密钥。 如果密钥加密，请启用加密的复选框并且指定密码。如镜像所显示，点击OK键保存证书内容， ： 步骤2.配置SSL策略。 SSL策略定义了解