Einleitung
In diesem Dokument wird erläutert, warum die Zertifikate für den Cisco Umbrella-Proxy innerhalb von Tagen nach dem aktuellen Datum ablaufen.
Voraussetzungen
Anforderungen
Es gibt keine spezifischen Anforderungen für dieses Dokument.
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf Cisco Umbrella Secure Internet Gateway (SIG).
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Überblick
Wenn ein Cisco Umbrella-Webproxy für die Entschlüsselung der HTTPS-Kommunikation konfiguriert ist, können das Ablaufdatum und die Uhrzeit der vom Proxy empfangenen Zertifikate in der Regel innerhalb von zehn Tagen ab dem aktuellen Datum und der aktuellen Uhrzeit liegen. Dies ist eine Sicherheitsfunktion, die keine Aktion durch den Endbenutzer erfordert. Die Verlängerung erfolgt automatisch.
Zertifikatslebensdauer mit Proxy-Entschlüsselung
Wenn Web-Clients HTTPS-Kommunikation (HTTP-Anforderungen mit TLS verschlüsselt) über den Umbrella Secure Web Gateway (SWG)-Proxy oder den Intelligent Proxy (IP) senden und der Proxy so konfiguriert ist, dass er HTTPS-Kommunikation entschlüsselt, schreibt der Proxy das zum Server gehörende Leaf-Zertifikat neu und ersetzt alle Zwischenzertifikate, die ebenfalls vom Server gesendet werden, durch Cisco Zwischenzertifikate. Bei diesem Austausch der Zertifikatkette handelt es sich um die Standardtechnik, mit der Webproxys Anforderungen und Antworten, die mit TLS verschlüsselt sind, entschlüsseln.
Die neuen Leaf- und Zwischenzertifikate werden dynamisch erstellt. Wenn Sie die Daten Not Before (Nicht vor) und Not After (Nicht nach) in den Zertifikaten anzeigen, können die Zertifikate in der Regel mit kurzen Lebensdauern von maximal zehn Tagen als verbesserte Sicherheitsmaßnahme ausgestellt werden. Die Verlängerung erfolgt automatisch, sodass keine Endbenutzeraktion erforderlich ist.
In diesen Bildern, die am 8. April 2023 abgerufen wurden, hat das Blattzertifikat von example.com beispielsweise das Datum "Validity Not After" vom 11. April 2023 (3 Tage Gültigkeit verbleiben).
14723937288724
Das erste Zwischenzertifikat in der Kette, das Cisco Umbrella Secondary SubCA-Zertifikat, hat das Ablaufdatum 17. April 2023 (Not After).
14724083385492
Die Daten Not Before und Not After der Zertifikate in der Kette sind in der Regel nicht identisch, da die Erstellungszeiten je nach Abruf der einzelnen Zertifikate über alle Benutzer der Proxyinstanz variieren.
Die Ausstellung von Kurzzeitzertifikaten gilt nicht für
In beiden Konfigurationen können die oben genannten Zertifikate längere Gültigkeitszeiträume aufweisen.