Como eu faço um appliance Cisco Ironport enviar “certificados vinculados” para inspeção HTTPS?

2

Eu tenho uma árvore PKI e a ironport é uma autoridade de certificação no segundo nível da árvore PKI (para emissão de certificados de inspeção HTTPS)

Embora eu tenha implantado o certificado raiz para todos os clientes e o chrome / IE funcione corretamente, o Firefox mantém seu próprio armazenamento de certificados independente do Windows.

Eu quero apenas pedir ao helpdesk para importar o certificado raiz e não o certificado intermediário da Ironport para a loja confiável do Firefox. Presumo que o problema aqui seja semelhante a outros problemas de website em que o dispositivo não está enviando certificados "vinculados / encadeados" (por exemplo, enviando o certificado raiz inline com o fluxo HTTPS)

Como a IU ironport permite apenas a importação de um certificado no formato PEM, existe alguma maneira de fazer com que a ironport envie toda a cadeia pública de HTTPS para navegadores, em vez de apenas o certificado de última milha?

    
por random65537 31.12.2014 / 18:20

1 resposta

0

Na página de administração da Web da Ironport, em Rede / Certificados, você pode definir os vários certificados que deseja usar para SMTPS e HTTPS.

Ao definir um novo certificado, você pode fazer o upload do (último passo) certificado PKCS # 12.

Depois disso, você pode editar o certificado existente na mesma página. Na parte inferior da página, há uma seção recolhida "Certificados Internacionais (opcional)". Abra isso e ele permitirá que você faça o upload de quantos certificados internos forem necessários para concluir a cadeia.

Agora você pode associar esse certificado ao seu serviço HTTPS no Ironport e enviar a cadeia de certificados completa.

Fazemos isso aqui usando o QuoVadis certs, que requer 3 certificados intermediários e funciona.

    
por 19.05.2015 / 03:31