Достъп не може да SNI SSL сайтове през Threat Management портал 2010, ако е разрешено HTTPS проверка

Симптоми

Да разгледаме следния сценарий:

• Опит за достъп до уеб сайт на слой със защитени сокети (SSL) чрез Microsoft Forefront Threat Management портал 2010.

• Сайтът използва сървър име индикация (SNI) да определите кой сертификат да служи.

• Threat Management Gateway HTTPS проверка е разрешена.

• Threat Management Gateway сървъра използва уеб верижно да изпрати изходящи заявки за уеб прокси сървър.

• HTTPSiDontUseOldClientProtocols доставчик зададен е разрешена (на KB 2545464).

В този случай нямате достъп до сайта.

Причина

Този проблем възниква, защото Threat Management Gateway изгражда неправилно SNI заглавка, която причинява уеб сървър грешки или грешки при свързване.

Решение

За да разрешите този проблем, трябва да приложите тази актуална корекция на всички Threat Management Gateway масив членове. Тази актуална корекция не е активирана по подразбиране. След като инсталирате тази актуална корекция, трябва да следвате тези стъпки, за да активирате корекцията:

1. Копирайте следния скрипт в текстов редактор, например Notepad и след това го запишете като UseOriginalHostNameInSslContex.vbs:
   
   

   '' Copyright (c) Microsoft Corporation. All rights reserved.
   ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
   ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
   ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
   ' HEREBY PERMITTED.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
   Const SE_VPS_VALUE = TRUE
   Sub SetValue()
       ' Create the root object.
       Dim root
       ' The FPCLib.FPC root object
       Set root = CreateObject("FPC.Root")
       'Declare the other objects that are needed.
       Dim array       ' An FPCArray object
       Dim VendorSets
       ' An FPCVendorParametersSets collection
       Dim VendorSet
       ' An FPCVendorParametersSet object
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
       If Err.Number <> 0 Then
           Err.Clear        ' Add the item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
       Else
           WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
       End If
       if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   End Sub
   Sub CheckError()
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   End Sub
   SetValue
   

2. Копирайте файла със скрипта Threat Management Gateway масив член и след това щракнете двукратно върху файла, за да стартирате скрипта.

За да се върне към поведението по подразбиране, изпълнете следните стъпки:

1. Намерете следния ред на скрипта:
   
   

   Const SE_VPS_VALUE = true

2. Промяна на линия на следното:
   
   

   Const SE_VPS_VALUE = false

3. Изпълнете отново скрипта на един от членовете на Threat Management Gateway масив.

Допълнителна информация

SNI е се осъществява достъп до SSL Transport Layer Security (TLS) функция, която позволява на клиента да изпрати заглавка на SSL клиент "Здравейте" съобщение, което показва напълно квалифицирани име на домейна (FQDN). Това действие позволява на сървър, за да определите кой сертификат за изпращане на клиента въз основа на заглавката на SNI.

Когато Threat Management Gateway проверка на SSL е разрешен, Threat Management Gateway обработва SSL договарянето да целева уеб сървър и се отбелязва като клиента от уеб сървър SSL предаване.

Threat Management Gateway изгражда заглавката на SNI неправилно с помощта на името на сървър в права посока и не цел името на уеб сървъра, ако са налице следните условия:

• Threat Management Gateway е веригата прокси сървър.

• Threat Management Gateway вериги изходящи заявки към сървър в права посока Threat Management Gateway.

• HTTPSiDontUseOldClientProtocols доставчик зададен е разрешена на KB 2545464.

Това може да предизвика свързване грешки или грешки в уеб сървъра, в зависимост от това как реагира на заглавката на неправилно SNI на уеб сървъра.