简介
本文档说明为什么来自Cisco Umbrella代理的证书将在当前日期后的几天内到期。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于Cisco Umbrella安全互联网网关(SIG)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
概述
当Cisco Umbrella Web代理配置为解密HTTPS通信时,从代理接收的证书的到期日期和时间通常可以在当前日期和时间的十天内。这是一项安全功能,无需最终用户操作。续订是自动的。
使用代理解密的证书生存期
当Web客户端通过Umbrella安全Web网关(SWG)代理或智能代理(IP)发送HTTPS通信(使用TLS加密的HTTP请求),并且代理配置为解密HTTPS通信时,代理会重新写入属于服务器的枝叶证书,并用思科中间证书替换同样由服务器发送的任何中间证书。此证书链替换是Web代理对TLS中加密的请求和响应执行解密的标准技术。
动态创建新的枝叶和中间证书。当在证书中查看Not Before和Not After日期时,通常证书的生命期不超过10天,作为一种增强的安全措施。续订是自动进行的,无需最终用户执行任何操作。
例如,在2023年4月8日检索到的这些图像中,example.com的枝叶证书的有效期为Validity Not After date of 2023年4月11日(剩余3天的有效期)。
14723937288724
同样,链中的第一个中间证书(Cisco Umbrella Secondary SubCA证书)的有效期不得晚于2023年4月17日(过期)。
14724083385492
链中证书的Not Before和Not After日期通常不同,因为创建时间取决于在代理实例的所有用户之间检索每个证书。
短期证书颁发不适用于以下任何一种:
- Cisco Umbrella Root CA root证书(使用默认配置时看到)
- Cisco Umbrella客户CA中间证书(使用客户CA签名证书时看到)
在任一配置中,上述证书的有效期可能较长。