如果 Web Gateway 使用含有内容检查的 SSL 扫描程序则在访问 HTTPS 网站时显示浏览器证书警告

技术文章 ID: KB86362
上次修改时间: 2021-10-21 19:56:43 Etc/GMT

McAfee Web Gateway (MWG) 7.x

在访问 HTTPS 网站时，Web 浏览器显示证书警告。如果 Web Gateway 使用启用了内容检查的 SSL 扫描程序，则会发生此问题。证书警告消息会因 Web 浏览器而异：

从 2016 年 1 月 1 日起，大部分 Web 浏览器都在逐步停止信任使用 SHA-1 签署的证书。在 2016 年 1 月 1 日以后签署的任何证书在某些方面不受信任（因 Web 浏览器而异），但是在该日期以前签署的证书仍可接受。

Web Gateway 将针对经过 SSL 扫描的网站发放证书，因此签名日期将是 2016 年 1 月 1 日以后。

确保 Web Gateway 不在 SSL 扫描设置中使用 SHA-1（改为使用 SHA-256）。如果您从较旧的 Web Gateway 版本迁移到较新的 Web Gateway 版本，此设置将不会自动更新。

登录到 Web Gateway 用户界面。
导航至 Policy（策略）、Settings（设置）、Engines（引擎）、SSL Client Context with CA（含 CA 的 SSL 客户端上下文）。
对于含 CA 的 SSL 客户端上下文的所有设置容器：
1. 从 Digest（摘要）下拉菜单中，选择 sha256。
2. 从 RSA server key size（RSA 服务器密钥大小）下拉菜单中，选择 2048。

另外，如果在 Web Gateway 中使用的证书颁发机构 (CA) 是使用 SHA-1 签署的，您应该考虑尽快替换。目前，仅当 Web 服务器证书使用 SHA-1 签署时，Web 浏览器才会显示警告。但对于使用 SHA-1 签署的 CA 证书，最后会出现相同的问题。

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

此文章有以下语言版本：

Knowledge Center