https访问采用ssl加密方式访问的时候,主要是使用安全证书来实现身份效验以及传输的加密,AC设备通过伪造安全证书,代理客户端的访问来实现对传输的加密信息进行识别,从而达到内容的审计,以及行为的控制 由于终端不信任AC的根证书导致终端访问https的网站会弹出证书告警,想要消除告警管理员必须把AC根证书分发给每个终端来安装 注意: 1、https重定向和SSL内容识别都会导致https网站被设备代理导致告警,部分网站会导致代理之后无法访问,必须要导入根证书到电脑受信任的根证书颁发机构列表 2、设备的根证书默认名字是VeriSign Class 1 Extended Validation CA,可以看网站的服务器证书颁发者是否是AC的根证书来确定https请求是否被设备代理,也可以打开浏览器受信任根证书列表是否已经导入设备根证书 3、AC12.0.23及以上版本在【上网策略】-【策略高级选项】-【SSL证书设置】可以自定义根证书,详细配置方法参考连接:点击这里 下载和导入根证书方法一: 配置上网策略,在【策略管理】-【上网策略】-【上网权限策略】-【ssl内容识别】策略下面有个【点击下载ssl内容识别根证书】,下载安装即可,也可以通过AD域推送导入,可以下载《AD域环境下解除终端浏览器告警的方法》指导文档进行操作 注意:安装的证书存储位置需要设置为受信任的根证书颁发机构
下载和导入根证书方法二: 1、【用户认证与管理】-【认证高级选项】-【安装SSL识别根证书】勾选“要求安装根证书” 2、AC会根据设置的域名及适用范围定向重定向提示终端安装根证书及下载界面 3、终端下载并运行根证书程序,根证书安装成功此时需要关闭浏览器让证书安装生效,也可以将证书导入程序通过AD域推送安装 4、重新打开浏览器,查看浏览器证书发现设备根证书在“受信任的根证书颁发机构”即可
注意: 启用要求安装证书功能之后, 适用范围内未安装证书的终端访问适用域名会重定向到安装证书页面, 安装证书之后才能正常上网 |