为加密 HTTPS 连接启用瞻博网络 ATP 云
如果尚未执行此操作,则需要配置 ssl-inspect-ca,它用于 ssl 转发代理和 HTTP 中的恶意软件检测。 下面只是配置 SSL 转发代理的一个示例。有关完整信息,请参阅 配置 SSL 代理。
在操作模式下,为本地数字证书生成 PKI 公钥/私钥对。
request security pki generate-key-pair certificate-id certificate-id size size type type
例如:
request security pki generate-key-pair certificate-id ssl-inspect-ca size 2048 type rsa
在操作模式下,定义自签名证书。指定证书详细信息,例如证书标识符(在上一步中生成)、证书的完全限定域名以及拥有证书的实体的电子邮件地址。
request security pki local-certificate generate-self-signed certificate-id certificate-id domain-name domain-name subject subject email email-id
例如:
request security pki local-certificate generate-self-signed certificate-id ssl-inspect-ca domain-name www.juniper.net subject "CN=www.juniper.net,OU=IT,O=Juniper Networks,L=Sunnyvale,ST=CA,C=US" email security-admin@juniper.net
完成后,您可以配置 SSL 转发代理来检查 HTTPs 流量。例如:
set services ssl proxy profile ssl-inspect-profile root-ca ssl-inspect-caset security policies from-zone trust to-zone untrust policy firewall-policy1 then permit application-services ssl-proxy profile-name ssl-inspect-profile
有关更完整的示例,请参阅 配置瞻博网络高级威胁防御云策略。