- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
12-SSL卸载(SSL解密)FAQ
本章节下载: 12-SSL卸载(SSL解密)FAQ (139.84 KB)
SSL卸载功能目前只支持三层组网模式,二层组网不生效,Bridge等接口对组网方式均不生效。
安全策略中源/目的安全域除绑定接口所在安全域外,还需要源安全域配置Local域。
判定一次访问是否经过了SSL卸载的简单方法是,查看当前浏览器上显示的证书信息。不同浏览器查看证书的方法不同,一般都是在界面地址栏挂锁的地方,单击查看下拉菜单。如果一次HTTPS访问经过了SSL卸载,“颁发者”字段会被替换为设备中导入的解密证书的主题(“颁发给”字段)。
在cmd窗口中,ping一下当前访问的域名,获得服务器的IP地址,通过display app-proxy ssl whitelist ip all命令,查看显示的列表中是否包含了该IP地址。如果包含,则说明本次HTTPS连接的服务器地址被加入了IP地址白名单。
· 在当前访问的浏览器窗口获取证书信息,打开详细信息标签页,首先查看该证书是否有“使用者备用名称”,如果有,那么这里所列的第一条DNS Name就是当前证书的域名信息,如果没有,继续查看证书的“使用者信息”,这里“CN=”后面的内容是域名信息,也就是说DNS Name优先于Common Name(CN)字段作为证书的域名。
· SSL卸载的域名白名单对证书域名是模糊匹配的,只要证书域名包含白名单中的字符串,即认为匹配。可通过命令行display app-proxy ssl whitelist hostname predefined或者Web页面“策略 > 应用代理 > 白名单 > 预定义白名单”来查看域名白名单信息。
为保证去使能后流量不再走IP地址白名单,需要严格按照如下步骤操作:
(1) 通过命令行undo app-proxy ssl whitelist predefined-hostname去使能域名,或者在Web页面直接勾选域名进行禁用。
(2) 使用app-proxy ssl whitelist activate或者单击Web列表上的<提交>按钮,进行配置激活。
(3) 使用命令行reset app-proxy ssl whitelist ip清除所有IP地址白名单。
· 服务器双向代理,SSL卸载功能不支持卸载。
· 在设备或PC侧抓包,查看SSL握手过程,如果服务器侧发过Certificate Request,则说明此次HTTPS连接是双向代理的。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
