什么是AppScan和SSL证书？

在开始讲解具体操作前，我们先了解一下基础知识。AppScan是IBM开发的一款专业的Web应用安全测试工具，它能自动扫描网站和Web应用程序，发现SQL注入、跨站脚本(XSS)等安全漏洞。而SSL证书则是用于加密网站与用户浏览器之间通信的数字证书，现在主流网站基本都使用HTTPS协议(即HTTP+SSL/TLS)。

举个例子：想象你要在网上银行转账，如果没有SSL加密，就像在咖啡馆大声喊出你的银行卡密码；而有了SSL加密，就相当于你和银行之间建立了一条专用保密电话线。

为什么要在AppScan中添加SSL证书？

很多新手在使用AppScan扫描HTTPS网站时经常会遇到这样的错误："SSL握手失败"、"无法建立信任关系"等。这是因为：

1. 自签名证书问题：很多内部测试环境使用自签名证书，不像公共CA机构颁发的证书那样被系统默认信任

2. 中间人检测机制：AppScan作为扫描器实际上充当了"中间人"的角色来检查加密流量，这需要特殊的证书配置

3. 企业内网CA情况：大型企业往往有自己的CA机构颁发的内部证书，这些也需要手动导入

比如某公司开发团队在内网搭建了一个https://test.company.com的测试环境，使用了内部CA颁发的证书。如果不把这个CA根证书导入AppScan的信任库，扫描就会失败。

详细步骤：如何在AppScan中添加SSL证书

方法一：通过GUI界面添加（适合初学者）

1. 准备证书文件：

- 从目标网站导出.crt或.pem格式的证书

- 如果是自签名证书，可以直接从浏览器导出

- 示例：Chrome中点击锁图标→"连接是安全的"→"证书有效"→"详细信息"→"复制到文件"

2. 打开AppScan设置：

- 启动IBM Security AppScan Standard

- 点击顶部菜单"工具(Tools)"→"选项(Options)"

- 在弹出的窗口中选择"高级(Advanced)"选项卡

3. 导入证书：

- 点击右下角的"管理证书(Manage Certificates)"按钮

- 在弹出的窗口中切换到"受信任的根证书颁发机构(Trusted Root Certification Authorities)"选项卡

- 点击左下角的"导入(Import)"按钮并选择你准备好的证书文件

- 确认导入后关闭所有对话框

方法二：通过命令行添加（适合批量操作）

对于需要批量部署的场景或者自动化测试需求，可以使用命令行方式：

```bash

Windows环境下示例：

keytool -importcert -alias "MyInternalCA" -file C:\certs\internal-ca.crt

-keystore "C:\Program Files\IBM\AppScanStandard\java\lib\security\cacerts"

-storepass changeit

```

说明：

- `-alias`给这个证书起个别名方便识别

- `-file`指定证书文件路径

- `-keystore`指向AppScan使用的Java信任库（默认密码通常是changeit）

方法三：处理特殊情况

情况1：如果遇到双向SSL认证（即服务器也要验证客户端身份）：

1. 需要在扫描配置的"认证(Authentication)"部分上传客户端PFX/P12格式的凭证包

2. 输入正确的密钥库密码和私钥密码

情况2：使用代理服务器时的特殊处理：

1. 确保代理服务器的CA根证书记录已添加到AppScan信任库

2. 可能需要额外配置代理设置中的SSL选项

SSL相关常见错误及解决方案

"PKIX路径构建失败"

这是最常见的错误之一，表示Java无法验证服务器的身份。解决方法：

1. 确保证书链完整：

有时不仅需要添加终端实体证书，还需要中间CA证书。

比如网站的CertificateA是由IntermediateB签发的，而IntermediateB又由RootC签发，

那么可能需要同时导入IntermediateB和RootC。

2. 检查时间有效性：

遇到过期的开发测试环境吗？执行命令查看有效期：

```bash

openssl x509 -in certificate.crt -noout -dates

```

"不支持的协议版本"

这可能是因为目标服务器使用了较新的TLS协议版本（如TLSv1.3），而默认Java安全策略限制了可用协议：

解决方法是在appscan_config.xml中添加JVM参数：

```xml

-Dhttps.protocols=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

SSL/TLS扫描最佳实践建议

根据OWASP测试指南和实际工作经验建议：

1. 分级管理原则：

开发环境 → QA环境 → Staging环境 →生产环境

↑ ↑ ↑

自签名 内部CA 公共可信CA

│ │ │

宽松策略 中等策略 严格策略

可忽略某些 记录但不阻 严格执行所有

警告 断扫描 安全检查

2. 定期更新信任库：

建议每季度更新一次内置的Java CA certs包，

可以从Oracle官网下载最新的cacerts文件替换原有文件。

3. 性能考虑：

对于大型企业部署可以考虑设置本地OCSP响应器，

避免每次验证都进行在线吊销检查导致扫描变慢。

FAQ常见问题解答

Q: AppScan Standard和Enterprise版本在SSL处理上有区别吗？

A: Enterprise版本支持集中管理信任库和自动化部署，

而Standard版需要手动在每个客户端上配置。

Q: Chrome/Firefox能访问的HTTPS站点为什么AppScan不能扫？

A: Chrome有自己的NSS信任库独立于系统，

而AppScan使用的是Java JRE中的truststore。

Q: AppScan能自动发现并导入缺失的中级CA吗？

A: V10之后的版本增强了自动发现功能，

但对于复杂的私有PKI架构仍建议手动维护完整链。

通过以上详细的步骤讲解和案例分析，

相信您已经掌握了在AppScan中处理各种SSL/TLS相关问题的技巧。

记住在实际工作中，

灵活应用这些知识并根据具体场景调整策略才是关键。

安全测试的本质是在保障系统安全的前提下平衡风险与效率！

TAG:appscan怎么添加ssl证书,appscan使用,如何添加ssl证书,appscan使用教程,appscan webscan,appscan ssl证书