HTTPS 검사를 사용 하는 경우 위협 관리 게이트웨이 2010 SNI SSL 웹 사이트에 액세스 실패

증상

다음 시나리오를 고려하십시오.

• Microsoft Forefront 위협 관리 게이트웨이 2010을 통해 Secure Sockets Layer (SSL) 웹 사이트에 액세스 하려고 합니다.

• 웹 사이트 인증서 처리를 결정 하려면 서버 이름 표시 (SNI)를 사용 합니다.

• 위협 관리 게이트웨이 HTTPS 검사 사용 됩니다.

• 위협 관리 게이트웨이 서버 체인을 나가는 웹 요청을 업스트림 프록시 서버로 보낼 웹을 사용 합니다.

• ( KB 2545464) 당 HTTPSiDontUseOldClientProtocols 공급 업체 매개 변수 집합이 사용 됩니다.

이 시나리오에서는 웹 사이트에 액세스할 수 없습니다.

원인

위협 관리 게이트웨이 빌드 웹 서버 오류 또는 연결 오류가 발생 하는 잘못 된 SNI 헤더 때문에이 문제가 발생 합니다.

해결 방법

이 문제를 해결 하려면 모든 위협 관리 게이트웨이 배열 구성원에 대해이 핫픽스를 적용 합니다. 기본적으로이 핫픽스를 사용할 수 없습니다. 이 핫픽스를 설치한 후 수정 프로그램을 활성화 하려면 다음이 단계를 수행 해야.

1. 메모장과 같은 텍스트 편집기에 다음 스크립트를 복사 하 고 UseOriginalHostNameInSslContex.vbs로 저장 합니다.
   
   

   '' Copyright (c) Microsoft Corporation. All rights reserved.
   ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
   ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
   ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
   ' HEREBY PERMITTED.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
   Const SE_VPS_VALUE = TRUE
   Sub SetValue()
       ' Create the root object.
       Dim root
       ' The FPCLib.FPC root object
       Set root = CreateObject("FPC.Root")
       'Declare the other objects that are needed.
       Dim array       ' An FPCArray object
       Dim VendorSets
       ' An FPCVendorParametersSets collection
       Dim VendorSet
       ' An FPCVendorParametersSet object
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
       If Err.Number <> 0 Then
           Err.Clear        ' Add the item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
       Else
           WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
       End If
       if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   End Sub
   Sub CheckError()
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   End Sub
   SetValue
   

2. 위협 관리 게이트웨이 배열 구성원에 스크립트 파일을 복사한 다음 스크립트를 실행 하려면 파일을 두 번 클릭 합니다.

기본 동작으로 되돌리려면 다음과이 같이 하십시오.

1. 스크립트의 다음 줄을 찾습니다.
   
   

   Const SE_VPS_VALUE = true

2. 이 줄을 다음과 변경:
   
   

   Const SE_VPS_VALUE = false

3. 위협 관리 게이트웨이 배열 구성원 중 하나에 스크립트를 다시 실행 하십시오.

자세한 내용

SNI는 클라이언트가 SSL 클라이언트 "Hello" 메시지를 완전 하 게 지정 하는 헤더를 정규화 된 도메인 이름 (FQDN)를 보낼 수 있도록 하는 SSL 전송 계층 보안 (TLS) 기능에 액세스 하는. 이 이렇게는 SNI 헤더에 따라 클라이언트에 게 보낼 인증서를 확인 하는 서버를 활성화 합니다.

위협 관리 게이트웨이 SSL 검사 기능을 사용 하 고 위협 관리 게이트웨이 대상 웹 서버에 SSL 협상을 처리 하 고 클라이언트와 웹 서버 SSL 협상에 의해 식별 됩니다.

위협 관리 게이트웨이 하지 SNI 머리글 올바르게 사용 하 여 작성 업스트림 서버의 이름과 대상 웹 서버 이름이 아닌 다음 조건에 해당 하는 경우.

• 위협 관리 게이트웨이 다운스트림 프록시 서버입니다.

• 위협 관리 게이트웨이 업스트림 위협 관리 게이트웨이 서버로 보내는 요청을 연결합니다.

• KB 2545464당 HTTPSiDontUseOldClientProtocols 공급 업체 매개 변수 집합이 사용 됩니다.

웹 서버 잘못 SNI 헤더에 반응 하는 방법에 따라 웹 서버 오류 또는 연결 오류가 발생할 수 있습니다.