本示例介绍如何解密HTTPS流量并识别加密的应用，满足用户对应用细粒度管控的需求。

如下图所示，内网用户访问HTTPS网站，流量被加密。通过使用SSL代理和应用识别功能，设备解密HTTPS流量，并识别加密的应用。

步骤一：配置SSL代理Profile。

选择“策略 > SSL代理”，点击“新建”。

在<基本配置>标签页，做如下配置：

• 名称：profile1
• 过期证书：解密
• 不支持的版本：阻断
• 不支持的加密算法：阻断
• 客户端认证：阻断
• 警告提示：启用

步骤二：在安全策略中引用SSL代理Profile。

配置允许内网用户访问Internet的安全策略，并在策略的“高级配置”中引用SSL代理Profile。

• SSL代理：勾选“启用”复选框，并在下拉菜单中选择“profile1”。

步骤三：导入设备证书到客户端Web浏览器

从设备中导出证书。

点击“系统 > PKI ”。在<管理>标签页：

• 信任域： trust_domain_ssl_proxy
• 内容：CA证书
• 行为：导出

点击“确定”，导出证书。

导入证书到客户端Web浏览器。

1. 在Chrome浏览器中，点击“设置 > 显示高级设置”。
2. 在HTTPS/SSL部分，点击“管理证书。”
3. 在“受信任的根证书颁发机构”标签页，点击“导入”。
4. 按照向导提示将导出证书导入到浏览器。

步骤四：升级专业版应用特征库并开启应用识别。

在CLI中执行升级命令，将应用特征库升级到专业版。

选择“网络 > 安全域”，选中“untrust”并点击“编辑”，选中<基本配置>标签页。

• 应用识别：勾选“启用”复选框。

步骤五：查看应用监控。

点击“监控 > 应用监控 > 应用详情”。

当内网用户访问HTTPS网站时，SSL代理功能对HTTPS流量进行解密，应用识别功能根据解密的HTTPS流量，细粒度地识别流量对应的应用。