教程篇(7.4) 06. 证书操作 & FortiGate管理员 ❀ Fortinet网络安全专家 NSE4

 在本课中，你将了解为什么FortiGate使用数字证书，以及如何将FortiGate配置为将证书用于SSL和SSH流量检查。

 完成本节后，你应该能够实现此上图显示的目标。

 FortiGate使用数字证书来增强多个领域的安全性。

　　FortiGate使用数字证书进行检查，主要是出站或入站流量检查。如果FortiGate信任证书，它允许连接。但如果FortiGate不信任证书，它可能会阻止连接。如何配置FortiGate决定了行为；但是，正在使用的其他策略也可能影响FortiGate是否接受或拒绝连接尝试。FortiGate还可以检查证书以识别人员和设备（在网络和互联网上），然后再允许个人或设备与它所保护的实体建立完整连接。

　　FortiGate使用数字证书来保护隐私。证书及其关联的私钥确保FortiGate可以与其他服务（如FortiGuard）或Web浏览器或Web服务器建立私有SSL连接。

　　FortiGate还使用证书进行身份验证。拥有已知和受信任的CA颁发的证书的用户可以在FortiGate上进行身份验证，以访问网络或建立VPN连接。管理员用户可以使用证书作为第二因素身份验证凭据来登录FortiGate。

 FortiGate使用SSL来确保在与服务器（如FortiGuard）和客户端（如网络浏览器）连接时数据保持私密。SSL的另一个功能是FortiGate可以使用它来识别使用证书的一方或双方。SSL使用对称和非对称加密在两点之间建立安全会话。

　　了解SSL握手的高级流程是有益的，以了解FortiGate如何保护私有会话。

　　对于对称加密，相同的密钥用于加密和解密流量。这个过程需要更少的计算资源，并且比非对称加密更快。然而，一个缺点是要求以安全的方式在参与设备之间共享密钥。当FortiGate在自己和另一个设备之间建立SSL会话时，它必须共享对称密钥（或者更确切地说，生成它所需的值——通常是你配置的密码），以便数据可以由一方加密，另一方发送和解密。

　　非对称密码学使用一对密钥：一个密钥执行一个功能，另一个密钥执行相反的功能。例如，当FortiGate连接到Web服务器时，它使用Web服务器公钥来加密称为预主密钥的字符串。网络服务器私钥解密预主密钥。

 什么是数字证书？

　　数字证书是由证书颁发机构（CA）制作并签名的数字文件。它标识了一个最终实体，例如一个人（例如Joe Bloggins）、一个设备（例如，webserver.acme.com）或事物（例如，证书撤销列表）。FortiGate通过读取Subject字段中的通用名称（CN）值来识别设备或人，该值表示为区分名称（DN）。FortiGate还可以使用替代标识符，如Subject Alternative Name字段中显示，其值可以是网络ID或电子邮件地址。FortiGate可以使用Subject Key Identifier标识符和Authority Key Identifier标识符值来确定证书的签发者（在Issuer字段中标识）与证书之间的关系。

　　FortiGate支持X.509v3证书标准，这是最常见的证书标准。

 FortiGate在信任证书之前运行以下检查：

　　● 在FortiGate上本地检查证书撤销列表（CRL），以验证CA是否已撤销证书。

　　FortiGate可以下载相关的CRL，并检查证书的序列号是否列在CRL上。如果证书已列出，则表示它已被撤销，并且不再受信任。

　　FortiGate还支持在线证书状态协议（OCSP）。当FortiGate使用OCSP时，它会与OCSP响应器（FortiAuthenticator充当OCSP响应器）交互，以检查证书是否仍然有效。

　　● 读取Issuer字段中的值，以确定它是否具有相应的CA证书。没有CA证书，FortiGate不会信任该证书。

　　● 验证当前日期是否在Valid From和Valid To值之间。如果不是，则证书无效。

　　● 验证证书上的签名。签名必须成功验证。

 在生成数字签名之前，CA通过散列函数运行证书的内容，该函数产生散列结果。散列结果是数据的数学表示，被称为原始散列结果。CA使用其私钥加密原始散列结果。加密的散列结果是数字签名。

　　当FortiGate验证数字签名时，它通过散列函数运行证书，产生新的散列结果。FortiGate必须使用与CA用于创建数字签名的相同的散列函数或散列算法。散列算法在证书中标识。

　　FortiGate使用CA公钥解密加密的散列结果（或数字签名），并应用与CA加密散列结果相同的算法。此过程验证签名。如果密钥无法将加密的散列结果恢复到其原始值，则签名验证失败。

　　在第三个也是最后一个验证过程中，FortiGate将新的散列结果与原始散列结果进行比较。如果两个值相同，则确认证书的完整性。如果两个哈希结果不同，那么FortiGate拥有的证书版本与CA签名的版本不同，数据完整性失败。

 虽然使用HTTPS有好处，但其使用也存在风险，因为加密流量可用于绕过正常的防御。例如，如果你下载包含病毒的文件时会话被加密，该病毒可能会通过你的网络安全措施。

　　在上图显示的示例中，Bob使用合法CA颁发的证书连接到一个站点。由于CA是经批准的CA，CA验证证书在Bob的证书存储中，Bob的浏览器能够与example.com网站建立SSL会话。然而，Bob不知道，example.com网站已经感染了病毒。病毒被加密掩盖，在未被发现的情况下通过FortiGate，并进入Bob的计算机。由于未启用完整SSL检查，该病毒能够破坏安全性。

　　你可以使用完整SSL检查，也称为深度检查，来检查加密会话。

 有两种SSL检查模式：SSL证书检查和完整SSL检查。

　　当使用SSL证书检查时，FortiGate不会解密流量。在SSL握手开始时交换hello消息时，FortiGate从客户端Hello解析服务器名称指示（SNI），这是TLS协议的扩展。SNI告诉FortiGateSSL服务器的主机名，该主机名在收到服务器证书之前根据DNS名称进行验证。如果没有交换SNI，那么FortiGate通过服务器证书中的Subject字段或SAN（主题替代名称）字段中的值来识别服务器。

　　首先，FortiGate试图从SNI字段获取URL。SNI字段是一个TLS扩展，包含用户正在连接的完整URL。大多数现代浏览器都支持它。如果SNI字段不存在（因为Web客户端可能不支持它），FortiGate继续检查服务器数字证书，以获取有关URL或域的信息。

　　你可以使用SSL证书检查模式应用的唯一安全功能是网络过滤和应用程序控制。SSL证书检查允许FortiGate识别访问的网站或使用的应用程序并对其进行分类。因此，你可以使用它来确保HTTPS协议不会被用作访问你使用网络过滤阻止的网站的变通方法。

　　请注意，虽然提供了一定程度的安全性，但证书检查不允许FortiGate检查加密数据的流。

 你可以配置完整SSL检查，以检查所有数据包内容，包括有效负载。FortiGate通过代理SSL连接来执行此检查。建立了两个SSL会话——客户端到FortiGate和FortiGate到服务器。两个已建立的会话允许FortiGate使用自己的密钥加密和解密数据包，这允许FortiGate完全检查加密数据包中的所有数据。

  当你使用深度检查时，FortiGate会冒充原始SSL会话的接收者，然后解密和检查内容以找到威胁并阻止它们。然后，它重新加密内容并将其发送给真正的收件人。深度检查可防止使用HTTPS和其他常用的SSL加密协议的攻击，如SMTPS、POP3S、IMAPS和FTPS。

  FortiGate可以继续进行入站流量的SSL/SSH检查。通常，这是本地用户为互联网上的网络服务器发起的流量。FortiGate保护用户免受来自外部服务器的流量的影响。

　　相反，你可以使用FortiGate来保护公司服务器。通常，你将保护公司网络服务器免受外部世界的侵害。为此，FortiGate充当代理服务器，并向互联网用户提供服务器证书。

  在FortiGate上，你可以选择在防火墙策略级别应用的检查模式。三个预定义的SSL/SSH检查配置文件可用，并对应于最常见的用例。

　　当你创建新的防火墙策略时，默认应用的配置文件是不言自明的no-inspection配置文件。其他可用的预定义配置文件是certificate-inspection和deep-inspection，它对出站流量进行全面的SSL检查。

　　如果你为入站流量定义检查配置文件，或为出站检查配置文件使用一些特定选项，你可以调整custom-deep-inspection配置文件或创建自己的配置文件。

  预定义的certificate-inspection和deep-inspection配置文件是只读的。如果你想调整配置文件参数，你可以使用预定义的custom-deep-inspection配置文件，或创建新的用户定义配置文件。

　　当你定义自定义SSL/SSH配置文件时，你可以使用参数Multiple Clients Connecting to Multiple Servers为输出流量启用SSL检查，或使用参数Protecting SSL Server为入站流量启用SSL检查。

　　你可以选择用于FortiGate和目的地之间流量重新加密的CA证书。默认情况下，FortiGate使用预加载的Fortinet_CA_SSL证书。

　　你还可以根据一些证书参数或状态指定FortiGate采取的操作。例如，你可以定义是否要允许或阻止不受信任或阻止的证书的流量。

 在完整SSL检查配置文件中，你还可以指定哪些SSL站点（如果有的话）要免除SSL检查。如果流量造成问题或出于法律原因，你可能需要免除流量的SSL检查。

　　例如，在启用HSTS的站点上执行SSL检查可能会导致流量问题。请记住，FortiGate检查加密流量的唯一方法是拦截来自服务器的证书并生成临时证书。FortiGate出示临时SSL证书后，使用HSTS的浏览器拒绝继续。

　　保护隐私的法律可能是绕过SSL检查的另一个原因。例如，在一些国家，检查SSL银行相关流量是非法的。为站点配置豁免比为每个银行设置防火墙策略更简单。你可以根据网站类别（如金融和银行）豁免网站，也可以根据其地址豁免网站。或者，你可以启用有信誉的网站，这从完整SSL检查中排除了由FortiGuard维护的有信誉的域名的允许列表。此列表会定期更新，并通过FortiGuard下载到FortiGate设备。

　　预定义的deep-inspection和custom-deep-inspection配置文件不包括一些网络类别——金融和银行，以及健康和健康——以及一些FQDN地址，如google-play、skype或verisign。使用custom-deep-inspection配置文件时，你可以从此列表中添加或删除站点。

  默认情况下，FortiGate使用自签名的CA证书进行SSL全面检查所需的重新加密。由于客户端设备证书存储库中没有预先填充相应的CA，用户可能会看到受完整SSL检查保护的流量流的证书警告。

　　为了避免警告，你可以在用户设备上将Fortinet_CA_SSL证书安装为受信任的CA。你可以将其作为公司所有计算机部署过程的一部分进行安装。或者，你可以在FortiGate上安装用于流量重新加密的CA证书，该证书由你的公司CA签名。此证书将已被贵公司设备识别为有效证书。

　　SSL全面检查后用于重新加密流量的证书必须遵循一些特定要求。你将在下一张图片上发现它们。

  要执行完整SSL检查，FortiGate作为网络代理，并且必须作为CA才能重新加密流量。FortiGate内部CA每次需要重新加密新的流量时，都必须生成SSL私钥和证书。密钥对和证书会立即生成，因此用户与Web服务器的连接不会延迟。

　　虽然从用户的角度来看，用户浏览器似乎已连接到网络服务器，但浏览器实际上已连接到FortiGate。要执行此代理角色，并生成与访问的服务器对应的证书，CA证书必须允许生成新证书。要实现这一目标，它必须具有以下扩展：cA设置为True，keyUsage扩展设置为keyCertSign。

　　cA=True值将证书标识为CA证书。keyUsage=keyCertSign值表示与私钥对应的证书允许签署证书。有关更多信息，请参阅RFC 5280第4.2.1.9节基本约束。

　　所有FortiGate设备都带有自签名的Fortinet_CA_sSL证书，你可以使用该证书进行全面的SSL检查。如果你的公司有内部CA，你可以要求CA管理员为你的FortiGate设备颁发证书。然后，FortiGate设备充当从属CA。

　　如果你使用Fortinet_CA_SSL证书或你公司CA颁发的证书来信任FortiGate并在没有警告的情况下接受重新加密的SSL会话，你必须导入用于你的根CA证书。

  要对流经FortiGate设备的流量执行SSL检查，你必须允许具有防火墙策略的流量，并对策略应用SSL检查配置文件。请注意，仅SSL检查配置文件不会触发安全检查。你必须将其与反病毒、Web过滤、应用程序控制或IPS等其他安全配置文件相结合。

　　默认情况下，防火墙策略使用no-inspectionSSL配置文件设置。因此，任何加密流量都会未经检查地流动。例如，使用no-inspection配置文件，FortiGate无法对HTTPS流量执行任何网络过滤。要允许对HTTPS流量进行网络过滤、DNS过滤或应用程序控制，你必须选择启用证书检查或深度检查的SSL检查配置文件。对于反病毒或IPS控制，你应该使用深度检查配置文件。

　　你可以在GUl上的SSL检查配置文件选择菜单附近看到一个警告标志。每次选择带有深度检查的SSL检查配置文件时，你都会看到此警告。当此策略允许流量时，它会警告用户浏览器上可能出现的证书警告。如果你将鼠标悬停在警告标志上，您可以阅读以下消息：“此SSL配置文件使用完整SSL检查。除非证书安装在浏览器中，否则最终用户可能会看到证书警告。”

　　如果你选择启用了完整SSL检查的配置文件，则会出现解密流量镜像选项。如果你希望FortiGate将解密的SSL流量的副本发送到接口，请启用此选项。它仅适用于基于流的检查。当你启用解密流量镜像时，FortiGate会显示一个包含此功能使用条款的窗口。用户必须同意条款，然后才能使用该功能。

　　你将以相同的方式将SSL配置文件应用于防火墙策略，以进行入站或出站流量检查。当FortiGate设备重新加密时，应用的SSL配置文件指定了正在使用的证书。

  当使用FortiGate自签名CA进行完整SSL检查时，每次连接到HTTPS站点时，你的浏览器可能会显示证书警告。这是因为浏览器正在接收由FortiGate签名的证书，FortiGate是一个它不知道和不信任的CA。这不是FortiGate的局限性，而是数字证书设计工作方式的结果。

　　有两种方法可以避免这些警告：

　　● 第一个选项是下载用于SSL代理检查的默认FortiGate证书，并将其作为受信任的根权限安装在所有工作站上。

　　● 第二个选项是从私有CA生成一个新的SSL代理证书。在这种情况下，仍然必须将私有CA证书导入所有浏览器。

　　如果你使用由下级CA签名的SSL证书，则必须确保从SSL证书到根CA证书的整个证书链都安装在FortiGate上。还要验证所有客户端浏览器上是否安装了根CA。这是出于信任目的所必需的。由于FortiGate在SSL握手期间将证书链发送到浏览器，因此你不必将中间CA证书导入浏览器。

 默认情况下，FortiGate使用自签名证书对HTTPS客户端进行身份验证。由于相应的CA证书没有预先填充在客户端设备的证书存储库中，因此与FortiGate设备的第一次HTTPS连接会触发安全警告。

　　如果你信任FortiGate设备，并希望保留自签名证书以建立SSL会话，你可以接受警告并建立连接。当你接受警告时，你的浏览器会将FortiGate自签名证书导入其证书存储库。因此，下次你连接到此FortiGate设备时，你的浏览器已经信任所显示的证书。

　　或者，你可以将FortiGate配置为使用Fortinet_GUI_Server证书，并将FortiGate自签名CA证书（Fortinet_CA_SSL）添加到需要连接到FortiGate设备的任何计算机的本地证书存储中。对于与FortiGate GUl接口的后续连接，这些设备信任证书，并允许在没有警告的情况下进行连接。

　　对于管理自己的CA的公司来说，另一种选择是为每个FortiGate设备生成证书，并使用它们来保护HTTPS连接。

  你可以从设置菜单中选择FortiGate为HTTPS GUl访问提供的证书。默认情况下，FortiGate使用self-sign证书，该证书不被浏览器识别为可信证书。或者，你可以选择Fortinet_GUI_Server证书，该证书由Fortinet_CA_SSL签名。使用此证书，为了避免浏览器对FortiGate GUI访问的HTTPS警告，你必须将Fortinet_CA_SSL证书导入管理设备。

  在将默认CA证书（Fortinet_CA_SSL）导入用户设备之前，你必须从FortiGate下载它。

　　你可以从系统菜单下的FortiGate证书存储库中获取它。下载后，FortiGate会生成一个.cer文件，你可以根据需要将其导入任何设备。

  从FortiGate下载CA证书后，你可以将其导入任何网络浏览器或操作系统。并非所有浏览器都使用相同的证书存储库。例如，Firefox使用自己的存储库，而Internet Explorer和Chrome则将证书存储在系统范围的存储库中。为了防止证书警告，你必须将SSL证书作为可信的根CA导入。

　　导入证书时，请确保将其保存到根权限的证书存储库中。

　　上图的示例显示了你用于将证书导入Firefox浏览器的菜单。

  如果你的公司有私有签名CA或由证书颁发机构签名的签名CA，你可以将相应的证书导入FortiGate设备，如上图所示。请注意，你可以通过连接到SCEP服务器或作为文件导入证书。SCEP代表简单证书注册协议，是一种流行且广泛可用的证书注册协议。

  如果你的公司管理自己的证书颁发机构，你可以为FortiGate GUl或SSL访问生成证书。你还可以生成用于SSL-VPN隧道的证书。

　　FortiGate提供了三种导入私有证书的选项。你可以首先生成证书签名请求（CSR），并将其提交给CA以生成证书。通过此过程，密钥文件在生成CSR时会自动生成并存储在FortiGate上。稍后，你只导入证书文件（.CER）由CA提供。另一个选项是将证书文件和相关密钥导入FortiGate证书存储。或者，你可以加载PKCS#12证书文件，该文件被标识为.PFX文件。它包含证书和关联的私钥。

  由于无法召回证书，证书撤销列表（CRL）详细说明了由有效CA签名的证书，这些证书不应再被信任。证书可能会因多种原因被撤销，例如如果证书签发错误，或者有效证书的私钥被盗。

　　CA管理员发布CRL并定期更新。你可以将CRL作为CA管理员提供的文件加载到FortiGate设备中，或指导FortiGate连接到CRL存储库并加载相应的列表。

　　使已撤销证书列表保持最新状态的推荐方法是通过以下可用协议之一加载它们：HTTP、LDAP或SCEP。或者，你可以通过导入CRL文件将CRL列表加载到FortiGate证书存储库中。

　　你可以通过编辑证书并导航到CRL端点信息部分来获取与证书关联的CRL分发点。

　　请注意，只有在你加载了至少一个CRL后，FortiGate GUI证书菜单上的CRL部分才可见。

  审查导入到FortiGate设备的证书的中心位置是系统菜单的证书部分中可用的证书列表。

　　在此表中，你可以查看：

　　● CRL部分，其中包含所有加载的CRL。

　　● 本地CA证书部分，其中包含FortiGate签名CA证书。默认情况下，它包含Fortinet_CA_SSL和Fortinet_CA_untrusted证书。如果你从公司导入签名CA证书，它将出现在本节中。

　　● 本地证书部分，其中包含设备和用户证书。在上图显示的示例中，你可以看到用户证书Ana和设备证书Local-FortiGate。对于两者，发行人都是ACME，在本例中，ACME是公司私服务有CA。

　　● 远程CA证书部分，这是FortiGate显示所有未签署CA证书的导入CA证书的部分。

　　请注意：

　　● 只有在你加载了至少一个CRL后，CRL部分才可见。

　　● 仅当相应的CA证书导入证书存储库时，FortiGate才会显示CRL。

　　● FortiGate在本地证书部分显示状态为待定的证书签名请求（CSR）。

　　● 源列指示证书的来源，要么始终存在证书的工厂，要么由管理员用户导入的证书的用户。

  越来越多的应用程序正在使用SSL在互联网上安全地交换数据。虽然本课的大部分内容都围绕着SSL检查对浏览器的操作和影响，但同样适用于使用SSL的其他应用程序。毕竟，浏览器只是你设备上使用SSL的另一个应用程序。

　　因此，当你在FortiGate上启用SSL检查时，你需要考虑对基于SSL的应用程序的潜在影响。例如，当你启用完整的SSL检查时，Windows版Microsoft Outlook 365报告证书错误，因为FortiGate使用的CA证书不受信任。要解决这个问题，你可以将CA证书作为受信任的根证书颁发机构导入Windows证书存储库。由于Microsoft Outlook 365信任Windows证书存储库中的证书，因此应用程序将不再报告证书错误。另一种选择是免除你的Microsoft Exchange服务器地址的SSL检查。虽然这可以防止证书错误，但你不再对电子邮件流量进行SSL检查。

　　还有其他应用程序内置了额外的安全检查，可以防止MITM攻击，例如HSTS。例如，Dropbox使用证书固定来确保用户流量无法进行SSL检查。因此，当你在FortiGate上启用完整SSL检查时，你的Dropbox客户端将停止工作，并报告它无法建立安全连接。就Dropbox而言，解决连接错误的唯一方法是免除Dropbox连接的域免受SSL检查。

　　此外，请记住，SSL是由不同的协议利用的，而不仅仅是HTTP。例如，还有其他基于SSL的协议，如FTPS、POP3S、SMTPS、STARTTLS、LDAPS和SIP TLS。如果你有使用任何这些基于SSL的协议的应用程序，并且你已打开SSL检查以及检查这些协议的安全配置文件，那么应用程序可能会报告SSL或证书错误。解决方案取决于应用程序采取的安全措施。

  FortiGate可以检测因以下原因而无效的证书：

　　● 过期：证书已过期。

　　● 撤销：证书已根据CRL或OCSP信息撤销。

　　● 验证超时：由于通信超时，证书无法验证。

　　● 验证失败：FortiGate无法验证证书，或者证书还无效。

　　当证书因上述任何原因而失败时，你可以配置以下任何操作：

　　● 保持不信任和允许：FortiGate允许网站，并让浏览器决定要采取的行动。FortiGate将证书视为不受信任。

　　● 阻止：FortiGate阻止网站的内容。

　　● 信任和允许：FortiGate允许网站，并将证书视为可信。

　　证书检查功能可以分为两个主要检查，它们是并行完成的：

　　● FortiGate检查证书是否因上图中描述的四个原因而无效。

　　● FortiGate根据本地安装的CA证书和SSL服务器提供的证书执行证书链验证。

　　根据配置的操作和检查结果，FortiGate将证书显示为可信（由Fortinet_CA_SSL签名）或不受信任（由Fortinet_CA_Untrusted签名），并允许内容或阻止它。你还可以通过启用日志SSL异常选项来跟踪证书异常。

  当你尝试访问使用不受信任证书的HTTPS网站时，浏览器会显示证书警告。不受信任的证书包括自签名的SSL证书，除非该证书被导入浏览器信任的证书存储区。FortiGate在SSL/SSH检查配置文件上有自己的配置设置，其中包括允许、阻止或忽略不受信任的SSL证书的选项。

　　当你将不受信任的SSL证书设置为允许时，FortiGate检测到不受信任的SSL证书，FortiGate会生成一个由内置Fortinet_CA_Untrusted证书签名的临时证书。然后，FortiGate将临时证书发送到浏览器，该证书向用户发出警告，表明该网站不受信任。如果FortiGate收到受信任的SSL证书，那么它会生成一个由内置的Fortinet_CA_SSL证书签名的临时证书，并将其发送到浏览器。如果浏览器信任Fortinet_CA_SSL证书，浏览器将完成SSL握手。否则，浏览器还会显示一条警告消息，通知用户该网站不受信任。换句话说，要使此功能按预期工作，你必须将Fortinet_CA_SSL证书导入浏览器的受信任根CA证书存储区。不得导入Fortinet_CA_Untrusted证书。

　　当设置设置为阻止时，FortiGate收到不受信任的SSL证书时，FortiGate会直接阻止连接，用户无法继续。

　　当设置设置为忽略时，FortiGate会向浏览器发送由Fortinet_CA_SSL证书签名的临时证书，无论SSL证书状态如何——可信还是不可信。然后，FortiGate继续建立SSL会话。

  为流量更换证书可能会导致问题。一些软件和服务器对允许使用的证书有特定的限制。

　　HSTS是一项安全功能，旨在通过确保访问服务器资源时显示的任何证书由特定CA签名来检测中间人SSL攻击。

　　如果浏览器检测到任何其他CA，它只是拒绝继续SSL握手，并阻止访问网站。如果你正在使用Chrome浏览器，对于此类网站，你将收到上图显示的隐私错误消息“你的连接不是私密的”。

  当更换流量证书时，会导致问题并阻止用户访问某些网站，可用的解决方案是有限的。你可以根据可以采取行动的级别选择以下变通办法之一。

　　在FortiGate级别，你可以免除受影响网站的完整SSL检查，而是使用证书检查。如果你可以在浏览器级别采取行动，你可以为每个网站或全局禁用HSTS验证（有关该过程，请参阅浏览器手册）。

　　如果你只想对少数站点使用证书检查而不是深度检查，你在定义策略时必须小心。它必须具有足够的限制性，以完全匹配你想要允许且不支持深度检查的网站。否则，你可能会被允许站点仅通过证书检查，而不是深度检查。

  答案：A

  答案：A

  答案：B

  上图显示了你在本课中涵盖的目标。

　　通过掌握本课程中涵盖的目标，你了解了FortiGate如何使用证书，以及如何在网络中管理和使用证书。

---