瞭解Umbrella代理證書過期

簡介

本檔案將說明為什麼思科Umbrella代理的憑證會在目前日期的幾天內到期。

必要條件

需求

本文件沒有特定需求。

採用元件

本檔案中的資訊是根據Cisco Umbrella安全網際網路閘道(SIG)。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路運作中，請確保您瞭解任何指令可能造成的影響。

概觀

當思科Umbrella Web代理配置為解密HTTPS通訊時，從代理接收的證書的到期日期和時間通常可以在當前日期和時間的10天內。這是一項安全功能，無需終端使用者執行操作。續訂是自動的。

使用代理解密的證書生存期

當Web客戶端通過Umbrella安全Web網關(SWG)代理或智慧代理(IP)傳送HTTPS通訊（使用TLS加密的HTTP請求），並且該代理配置為解密HTTPS通訊時，該代理重新寫入屬於伺服器的枝葉證書，並用思科中間證書替換伺服器也傳送的任何中間證書。此證書鏈替換是Web代理對TLS中加密的請求和響應執行解密的標準技術。

新的枝葉和中間證書是動態建立的。當在憑證中檢視Not Before和Not After日期時，通常憑證可以發出不超過10天的短壽命，作為增強的安全措施。續訂是自動進行的，無需終端使用者執行任何操作。

例如，在2023年4月8日檢索到的這些影象中，example.com的葉證書的有效期為2023年4月11日(剩餘3天有效期)。

14723937288724

同樣地，鏈結中的第一個中間憑證Cisco Umbrella Secondary SubCA 憑證的生效日期為2023年4月17日（到期）。 

14724083385492

鏈中憑證的Not Before和Not After日期通常不同，因為建立時間取決於跨代理例項的所有使用者檢索每個憑證。

短期證書頒發不適用於以下任一項：

• Cisco Umbrella根CA根憑證(使用預設組態時會看到)
• Cisco Umbrella客戶CA中間憑證(使用客戶CA簽署的憑證時看到)

在任一組態中，上述憑證均可具有更長的有效期。