HTTPS 검사를 사용 하는 경우 위협 관리 게이트웨이 2010 SNI SSL 웹 사이트에 액세스 실패

증상

다음 시나리오를 고려하십시오.

  • Microsoft Forefront 위협 관리 게이트웨이 2010을 통해 Secure Sockets Layer (SSL) 웹 사이트에 액세스 하려고 합니다.

  • 웹 사이트 인증서 처리를 결정 하려면 서버 이름 표시 (SNI)를 사용 합니다.

  • 위협 관리 게이트웨이 HTTPS 검사 사용 됩니다.

  • 위협 관리 게이트웨이 서버 체인을 나가는 웹 요청을 업스트림 프록시 서버로 보낼 웹을 사용 합니다.

  • ( KB 2545464) 당 HTTPSiDontUseOldClientProtocols 공급 업체 매개 변수 집합이 사용 됩니다.

이 시나리오에서는 웹 사이트에 액세스할 수 없습니다.

원인

위협 관리 게이트웨이 빌드 웹 서버 오류 또는 연결 오류가 발생 하는 잘못 된 SNI 헤더 때문에이 문제가 발생 합니다.

해결 방법

이 문제를 해결 하려면 모든 위협 관리 게이트웨이 배열 구성원에 대해이 핫픽스를 적용 합니다. 기본적으로이 핫픽스를 사용할 수 없습니다. 이 핫픽스를 설치한 후 수정 프로그램을 활성화 하려면 다음이 단계를 수행 해야.

  1. 메모장과 같은 텍스트 편집기에 다음 스크립트를 복사 하 고 UseOriginalHostNameInSslContex.vbs로 저장 합니다.

    '' Copyright (c) Microsoft Corporation. All rights reserved.
    ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
    ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
    ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
    ' HEREBY PERMITTED.
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
    ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
    Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
    Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
    Const SE_VPS_VALUE = TRUE
    Sub SetValue()
    ' Create the root object.
    Dim root
    ' The FPCLib.FPC root object
    Set root = CreateObject("FPC.Root")
    'Declare the other objects that are needed.
    Dim array ' An FPCArray object
    Dim VendorSets
    ' An FPCVendorParametersSets collection
    Dim VendorSet
    ' An FPCVendorParametersSet object
    Set array = root.GetContainingArray
    Set VendorSets = array.VendorParametersSets
    On Error Resume Next
    Set VendorSet = VendorSets.Item( SE_VPS_GUID )
    If Err.Number <> 0 Then
    Err.Clear ' Add the item.
    Set VendorSet = VendorSets.Add( SE_VPS_GUID )
    CheckError
    WScript.Echo "New VendorSet added... " & VendorSet.Name
    Else
    WScript.Echo "Existing VendorSet found... value: " & VendorSet.Value(SE_VPS_NAME)
    End If
    if VendorSet.Value(SE_VPS_NAME) <> SE_VPS_VALUE Then
    Err.Clear
    VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
    If Err.Number <> 0 Then
    CheckError
    Else
    VendorSets.Save false, true
    CheckError
    If Err.Number = 0 Then
    WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
    End If
    End If
    Else
    WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
    End If
    End Sub
    Sub CheckError()
    If Err.Number <> 0 Then
    WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
    Err.Clear
    End If
    End Sub
    SetValue
  2. 위협 관리 게이트웨이 배열 구성원에 스크립트 파일을 복사한 다음 스크립트를 실행 하려면 파일을 두 번 클릭 합니다.

기본 동작으로 되돌리려면 다음과이 같이 하십시오.

  1. 스크립트의 다음 줄을 찾습니다.

    Const SE_VPS_VALUE = true
  2. 이 줄을 다음과 변경:

    Const SE_VPS_VALUE = false
  3. 위협 관리 게이트웨이 배열 구성원 중 하나에 스크립트를 다시 실행 하십시오.

핫픽스 정보

지원 되는 핫픽스는 Microsoft 기술 지원부에서 사용할 수 있습니다. 그러나 이 핫픽스는 오직 이 문서에서 설명하는 문제를 해결하는 작업에만 사용됩니다. 이 문서에서 설명한 문제가 발생하는 시스템에만 이 핫픽스를 적용하십시오. 이 핫픽스는 추가 테스트가 필요할 수도 있습니다. 따라서, 이 문제로 심각하게 영향을 받지 않는 경우 이 핫픽스가 포함된 다음 소프트웨어 업데이트가 나올 때까지 기다리는 것이 좋습니다.

핫픽스를 다운로드할 수 있는 경우, 이 기술 자료 문서의 상단에 "핫픽스 다운로드 가능" 섹션이 있습니다. 이 섹션이 나타나지 않으면, Microsoft 고객 지원에 문의하여 핫픽스를 얻으십시오.

참고: 추가 문제가 발생하거나 문제 해결이 필요한 경우, 별도로 서비스를 요청해야 할 수도 있습니다. 추가 지원 질문과 이 특정 핫픽스가 필요하지 않은 문제에는 일반 지원 비용이 적용됩니다. Microsoft 고객 서비스 및 지원 전화 번호의 전체 목록이 필요하거나 별도로 서비스를 요청하려면, 다음 Microsoft 웹 사이트를 방문하십시오.

http://support.microsoft.com/contactus/?ws=support참고: "핫픽스 다운로드 사용 가능" 형식은 핫픽스 사용이 가능한 언어를 표시합니다. 사용자 언어가 표시되지 않는 것은 핫픽스를 해당 언어로 사용할 수 없기 때문입니다.

전제 조건

이 핫픽스를 적용 하려면 설치 된 Microsoft Forefront 위협 관리 게이트웨이 2010에 대 한 서비스 팩 2 있어야 합니다.

다시 시작 정보

이 핫픽스 롤업을 적용 한 후 컴퓨터를 다시 시작 해야 할 수 있습니다.

대체 정보

이 핫픽스 롤업에 이전에 출시 된 핫픽스 롤업을 대체 하지 않습니다.

이 핫픽스의 영어 버전은 다음 표에 열거된 파일 특성 (또는 그 이후의 파일 특성)을 가지고 있습니다. 이러한 파일의 시간과 날짜는 협정 세계시(UTC)로 나열되었습니다. 파일 정보를 볼 때는 로컬 시간으로 변환됩니다. UTC와 로컬 시간의 시차는 제어판의 날짜 및 시간 항목에서 표준 시간대 탭을 사용하여 찾을 수 있습니다.

파일 이름

파일 버전

파일 크기

날짜

시간

플랫폼

Authdflt.dll

7.0.9193.650

252,768

22-Apr-15

9:46

x64

Comphp.dll

7.0.9193.650

257,912

22-Apr-15

9:46

x64

Complp.dll

7.0.9193.650

108,032

22-Apr-15

9:46

x64

Cookieauthfilter.dll

7.0.9193.650

682,760

22-Apr-15

9:46

x64

Dailysum.exe

7.0.9193.650

186,288

22-Apr-15

9:46

x64

Diffserv.dll

7.0.9193.650

162,616

22-Apr-15

9:46

x64

Diffservadmin.dll

7.0.9193.650

310,400

22-Apr-15

9:46

x64

Empfilter.dll

7.0.9193.650

711,088

22-Apr-15

9:46

x64

Empscan.dll

7.0.9193.650

267,664

22-Apr-15

9:46

x64

Gwpafltr.dll

7.0.9193.650

191,456

22-Apr-15

9:46

x64

Httpadmin.dll

7.0.9193.650

242,944

22-Apr-15

9:46

x64

Httpfilter.dll

7.0.9193.650

251,208

22-Apr-15

9:46

x64

Isarepgen.exe

7.0.9193.650

79,704

22-Apr-15

9:46

x64

Ldapfilter.dll

7.0.9193.650

189,896

22-Apr-15

9:46

x64

Linktranslation.dll

7.0.9193.650

418,592

22-Apr-15

9:46

x64

Managedapi.dll

7.0.9193.650

80,752

22-Apr-15

9:46

x64

Microsoft.isa.reportingservices.dll

7.0.9193.650

876,328

22-Apr-15

9:46

x64

Microsoft.isa.rpc.managedrpcserver.dll

7.0.9193.650

172,440

22-Apr-15

9:46

x64

Microsoft.isa.rpc.rwsapi.dll

7.0.9193.650

136,920

22-Apr-15

9:46

x64

Mpclient.dll

7.0.9193.650

128,632

22-Apr-15

9:46

x64

Msfpc.dll

7.0.9193.650

1,079,304

22-Apr-15

9:46

x64

Msfpccom.dll

7.0.9193.650

13,446,024

22-Apr-15

9:46

x64

Msfpcmix.dll

7.0.9193.650

569,448

22-Apr-15

9:46

x64

Msfpcsec.dll

7.0.9193.650

386,656

22-Apr-15

9:46

x64

Msfpcsnp.dll

7.0.9193.650

17,112,848

22-Apr-15

9:46

x64

Mspadmin.exe

7.0.9193.650

1,121,552

22-Apr-15

9:46

x64

Mspapi.dll

7.0.9193.650

130,680

22-Apr-15

9:46

x64

Msphlpr.dll

7.0.9193.650

1,279,136

22-Apr-15

9:46

x64

Mspmon.dll

7.0.9193.650

150,232

22-Apr-15

9:46

x64

Mspsec.dll

7.0.9193.650

84,872

22-Apr-15

9:46

x64

Pcsqmconfig.com.xml

해당 없음

137,103

13-Feb-12

20:24

해당 없음

Preapi.dll

7.0.9193.650

21,536

22-Apr-15

9:46

x64

Radiusauth.dll

7.0.9193.650

138,408

22-Apr-15

9:46

x64

Ratlib.dll

7.0.9193.650

148,184

22-Apr-15

9:46

x64

Reportadapter.dll

7.0.9193.650

723,888

22-Apr-15

9:46

x86

Reportdatacollector.dll

7.0.9193.650

1,127,648

22-Apr-15

9:46

x86

Softblockfltr.dll

7.0.9193.650

143,552

22-Apr-15

9:46

x64

Updateagent.exe

7.0.9193.650

211,520

22-Apr-15

9:46

x64

W3filter.dll

7.0.9193.650

1,409,416

22-Apr-15

9:46

x64

W3papi.dll

7.0.9193.650

21,024

22-Apr-15

9:46

x64

W3pinet.dll

7.0.9193.650

35,432

22-Apr-15

9:46

x64

W3prefch.exe

7.0.9193.650

341,312

22-Apr-15

9:46

x64

Webobjectsfltr.dll

7.0.9193.650

170,320

22-Apr-15

9:46

x64

Weng.sys

7.0.9193.572

845,440

12-Dec-12

21:31

x64

Wengnotify.dll

7.0.9193.572

154,280

12-Dec-12

21:31

x64

Wploadbalancer.dll

7.0.9193.650

203,840

22-Apr-15

9:46

x64

Wspapi.dll

7.0.9193.650

49,840

22-Apr-15

9:46

x64

Wspperf.dll

7.0.9193.650

131,192

22-Apr-15

9:46

x64

Wspsrv.exe

7.0.9193.650

2,464,136

22-Apr-15

9:46

x64



자세한 내용

SNI는 클라이언트가 SSL 클라이언트 "Hello" 메시지를 완전 하 게 지정 하는 헤더를 정규화 된 도메인 이름 (FQDN)를 보낼 수 있도록 하는 SSL 전송 계층 보안 (TLS) 기능에 액세스 하는. 이 이렇게는 SNI 헤더에 따라 클라이언트에 게 보낼 인증서를 확인 하는 서버를 활성화 합니다.

위협 관리 게이트웨이 SSL 검사 기능을 사용 하 고 위협 관리 게이트웨이 대상 웹 서버에 SSL 협상을 처리 하 고 클라이언트와 웹 서버 SSL 협상에 의해 식별 됩니다.

위협 관리 게이트웨이 하지 SNI 머리글 올바르게 사용 하 여 작성 업스트림 서버의 이름과 대상 웹 서버 이름이 아닌 다음 조건에 해당 하는 경우.

  • 위협 관리 게이트웨이 다운스트림 프록시 서버입니다.

  • 위협 관리 게이트웨이 업스트림 위협 관리 게이트웨이 서버로 보내는 요청을 연결합니다.

  • KB 2545464당 HTTPSiDontUseOldClientProtocols 공급 업체 매개 변수 집합이 사용 됩니다.

웹 서버 잘못 SNI 헤더에 반응 하는 방법에 따라 웹 서버 오류 또는 연결 오류가 발생할 수 있습니다.

추가 도움이 필요하신가요?

기술 향상
교육 살펴보기
새로운 기능 우선 가져오기
Microsoft Insider 참가

이 정보가 유용한가요?

소중한 의견에 감사드립니다.

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×