簡介
本檔案將說明為什麼思科Umbrella代理的憑證會在目前日期的幾天內到期。
必要條件
需求
本文件沒有特定需求。
採用元件
本檔案中的資訊是根據Cisco Umbrella安全網際網路閘道(SIG)。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路運作中,請確保您瞭解任何指令可能造成的影響。
概觀
當思科Umbrella Web代理配置為解密HTTPS通訊時,從代理接收的證書的到期日期和時間通常可以在當前日期和時間的10天內。這是一項安全功能,無需終端使用者執行操作。續訂是自動的。
使用代理解密的證書生存期
當Web客戶端通過Umbrella安全Web網關(SWG)代理或智慧代理(IP)傳送HTTPS通訊(使用TLS加密的HTTP請求),並且該代理配置為解密HTTPS通訊時,該代理重新寫入屬於伺服器的枝葉證書,並用思科中間證書替換伺服器也傳送的任何中間證書。此證書鏈替換是Web代理對TLS中加密的請求和響應執行解密的標準技術。
新的枝葉和中間證書是動態建立的。當在憑證中檢視Not Before和Not After日期時,通常憑證可以發出不超過10天的短壽命,作為增強的安全措施。續訂是自動進行的,無需終端使用者執行任何操作。
例如,在2023年4月8日檢索到的這些影象中,example.com的葉證書的有效期為2023年4月11日(剩餘3天有效期)。
14723937288724
同樣地,鏈結中的第一個中間憑證Cisco Umbrella Secondary SubCA 憑證的生效日期為2023年4月17日(到期)。
14724083385492
鏈中憑證的Not Before和Not After日期通常不同,因為建立時間取決於跨代理例項的所有使用者檢索每個憑證。
短期證書頒發不適用於以下任一項:
- Cisco Umbrella根CA根憑證(使用預設組態時會看到)
- Cisco Umbrella客戶CA中間憑證(使用客戶CA簽署的憑證時看到)
在任一組態中,上述憑證均可具有更長的有效期。