Qui viene descritto dettagliatamente come configurare una regola di ispezione Secure Sockets Layer (SSL) per un criterio di protezione selezionato.
Prima di iniziare
Per configurare un criterio di protezione, è innanzitutto necessario aver creato un criterio di protezione. Per istruzioni specifiche su come creare un criterio di protezione, vedere Creazione di un criterio di protezione.
Categoria Ispezione SSL (SSL Inspection)
Tuttavia, alcuni tipi di traffico non gradiscono una presenza di tipo "man-in-the-middle", che è il modo in cui funziona l'ispezione SSL. Tali tipi includono il traffico che utilizza l'associazione del certificato, Mutual TLS (mTLS) e alcuni che utilizzano WebSocket. Per assicurarsi che Cloud Web Security non interrompa questi tipi di traffico, è possibile configurare eccezioni a questa regola di ispezione SSL predefinita, che consentano di ignorare l'ispezione SSL.
Il certificato CA root SSL può essere scaricato facendo clic su Certificato SSL (SSL Certificate) sul lato sinistro del menu Cloud Web Security > Configurazione (Configure) > Impostazioni aziendali (Enterprise Settings).
- Fare clic sull'icona o sul link del certificato per scaricarlo.
- Salvare il file e prendere nota della posizione.
- Prendere nota dell'identificazione personale del certificato per la convalida durante l'importazione.
Configurazione di una regola di ispezione SSL
Bypass SSL manuale
- Passare a .
- Selezionare un criterio di protezione per configurare la regola di ispezione SSL e fare clic sulla scheda Ispezione SSL (SSL Inspection).
- Nella scheda Ispezione SSL (SSL Inspection) della schermata Criteri di protezione (Security Policies) fare clic su +AGGIUNGI REGOLA (+ADD RULE) per configurare una regola di eccezione dell'ispezione SSL.
Viene visualizzata la schermata Crea eccezione SSL (Create SSL Exception).
- Nella schermata Crea eccezione SSL (Create SSL Exception), scegliere il tipo di traffico per cui ignorare l'ispezione SSL selezionando Origine (Source), Destinazione (Destination) o Categorie di destinazione (Destination Categories).
È ad esempio possibile creare una regola che ignori l'ispezione SSL per tutto il traffico destinato a zoom.us configurando la regola come regola di destinazione e quindi scegliendo il tipo di destinazione in base all'IP o all'host/dominio della destinazione, come illustrato nella seguente schermata di esempio.
- Fare clic sul pulsante Avanti (Next).
- Nella schermata Nome e tag (Name and Tags), configurare un Nome regola (Rule Name), Tag (Tags), Motivo (Reason) (se necessario) per la creazione della regola di bypass, e una posizione per la regola nell'elenco delle regole di ispezione SSL (le opzioni sono "Inizio elenco (Top of List)" o "In fondo all'elenco ("Bottom of List")).
- Fare clic su Fine (Finish).
La regola di ispezione SSL viene aggiunta al criterio di protezione.
- È quindi possibile configurare un'altra regola di ispezione SSL, configurare un'altra categoria del criterio di protezione o, se si è terminato, fare clic sul pulsante Pubblica (Publish) per pubblicare il criterio di protezione.
- Dopo aver pubblicato il criterio di protezione, gli utenti possono Applicare il criterio di protezione.
Bypass semplificato dell'ispezione SSL/eccezioni rapide
La funzionalità di bypass SSL semplificato consente agli utenti di ignorare l'ispezione SSL per le applicazioni Web più utilizzate.
- Nella scheda Ispezione SSL (SSL Inspection) della schermata Criteri di protezione (Security Policies) fare clic su AGGIUNGI ECCEZIONE RAPIDA (ADD QUICK EXCEPTION).
Viene visualizzata la schermata di configurazione Eccezioni rapide (Quick Exceptions).
- Per ignorare l'ispezione SSL per determinati domini o intervalli IP di sottorete, nella pagina Seleziona eccezioni (Select Exceptions), selezionare una o più applicazioni che l'utente desidera escludere dall'ispezione SSL attivando l'interruttore e fare clic su Avanti (Next). Quando un utente seleziona un'applicazione, tutti gli URL associati alle applicazioni selezionate vengono esclusi anche dall'ispezione SSL.
- Nella schermata Nome, motivi e tag (Name, Reasons and Tags) specificare Tag (Tags) e un Motivo (Reason) (se necessario) per cui è stata creata la regola dell'eccezione rapida e fare clic su Fine (Finish).
Viene creata la Regola di eccezione rapida (Quick Exception Rule) che viene visualizzata nella pagina dell'elenco delle regole di ispezione SSL, come illustrato nella schermata seguente.
Nota: Viene creata una sola regola e non è possibile creare regole aggiuntive. Questa regola è sempre denominata "Regola eccezione rapida (Quick Exception Rule)" e il nome non può essere modificato nella procedura guidata Eccezione rapida (Quick Exception).Nota: La regola sarà sempre la penultima nella pagina di elenco Regola di ispezione SSL (SSL Inspection Rule) e potrà essere aperta rapidamente facendo clic sul nome Regola eccezione rapida (Quick Exception Rule). Dopo l'aggiunta di una Regola eccezione rapida (Quick Exception Rule), il nome del pulsante Aggiungi eccezioni rapide (Add Quick Exceptions) diventa Eccezione rapida (Quick Exception) per indicare che esiste già una Regola eccezione rapida (Quick Exception Rule) che può essere modificata e non è possibile aggiungere altre regole di questo tipo.