Как заставить устройство Cisco Ironport отправлять "связанные сертификаты" для проверки HTTPS?
У меня есть дерево PKI, и железный порт является центром сертификации на втором уровне дерева PKI (для выдачи сертификатов проверки HTTPS)
Несмотря на то, что я развернул корневой сертификат на всех клиентах, и chrome/IE работают правильно, Firefox поддерживает свое собственное хранилище сертификатов, независимое от Windows.
Я хочу только попросить службу поддержки импортировать корневой сертификат, а не промежуточный сертификат Ironport в доверенное хранилище Firefox. Я предполагаю, что проблема здесь аналогична другим проблемам веб-сайта, когда устройство не отправляет "связанные / связанные" сертификаты (например, отправка корневого сертификата в линию с потоком HTTPS)
Поскольку интерфейс Ironport позволяет только импортировать сертификат формата PEM, можно ли каким-либо образом заставить Ironport отправлять всю открытую цепочку HTTPS в браузеры, а не только сертификат последней мили?
1 ответ
На странице веб-администрирования Ironport в разделе Сеть / Сертификаты вы можете указать различные сертификаты, которые вы хотите использовать для SMTPS и HTTPS.
При определении нового сертификата вы можете загрузить (последний шаг) сертификат PKCS#12.
После этого вы можете редактировать существующий сертификат через ту же страницу. Внизу страницы находится свернутый раздел "Срочные сертификаты (необязательно)". Откройте это, и это позволит вам загрузить столько внутренних сертификатов, сколько необходимо для завершения цепочки.
Теперь вы можете связать этот сертификат со своей службой HTTPS в Ironport, и он отправит полную цепочку сертификатов.
Мы делаем это здесь, используя сертификаты QuoVadis, которые требуют 3 промежуточных сертификата, и это работает.