Access falhar na Web sites de SSL de SNI através de ameaça gestão Gateway 2010 se a inspecção de HTTPS é activada

Sintomas

Considere o seguinte cenário:

• Tenta aceder um Web site de camada segura de Sockets (SSL) através do Microsoft Forefront ameaça gestão Gateway 2010.

• O Web site utiliza indicação de nome de servidor (SNI) para determinar qual o certificado para servir.

• Ameaça gestão Gateway HTTPS inspecção está activada.

• O servidor de Gateway de gestão de ameaça utiliza web encadeamento para enviar pedidos web a enviar para um servidor proxy montante.

• O conjunto de parâmetro de fornecedor de HTTPSiDontUseOldClientProtocols está activado (por KB 2545464).

Neste cenário, não é possível aceder ao Web site.

Causa

Este problema ocorre porque o Gateway de gestão de ameaça cria um cabeçalho SNI incorrecto que causa erros de conectividade ou erros no servidor web.

Resolução

Para resolver este problema, aplique esta correcção em todos os membros da matriz de Gateway de gestão de ameaça. Esta correcção não está activada por predefinição. Depois de instalar esta correcção, tem de seguir estes passos para activar a correcção:

1. Copie o seguinte script para um editor de texto como o bloco de notas e, em seguida, guardá-lo como UseOriginalHostNameInSslContex.vbs:
   
   

   '' Copyright (c) Microsoft Corporation. All rights reserved.
   ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
   ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
   ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
   ' HEREBY PERMITTED.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
   Const SE_VPS_VALUE = TRUE
   Sub SetValue()
       ' Create the root object.
       Dim root
       ' The FPCLib.FPC root object
       Set root = CreateObject("FPC.Root")
       'Declare the other objects that are needed.
       Dim array       ' An FPCArray object
       Dim VendorSets
       ' An FPCVendorParametersSets collection
       Dim VendorSet
       ' An FPCVendorParametersSet object
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
       If Err.Number <> 0 Then
           Err.Clear        ' Add the item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
       Else
           WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
       End If
       if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   End Sub
   Sub CheckError()
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   End Sub
   SetValue
   

2. Copie o ficheiro de script para um membro da matriz de Gateway de gestão de ameaça e, em seguida, faça duplo clique no ficheiro para executar o script.

Para reverter para o comportamento predefinido, siga estes passos:

1. Localize a seguinte linha do script:
   
   

   Const SE_VPS_VALUE = true

2. Altere esta linha para o seguinte:
   
   

   Const SE_VPS_VALUE = false

3. Volte a executar o script em um dos membros da matriz de Gateway de gestão de ameaça.

Mais informações

SNI é uma funcionalidade de SSL Transport Layer Security (TLS) que permite que um cliente enviar um cabeçalho da mensagem de "Olá" de cliente SSL que indica que totalmente qualificado (FQDN) do nome de domínio está a ser acedida. Esta acção permite que um servidor determinar qual o certificado para enviar para o cliente com base no cabeçalho de SNI.

Quando a inspecção de SSL de Gateway de gestão de ameaça é activada, o Gateway de gestão de ameaça processa a negociação de SSL para o servidor da web de destino e é identificado como o cliente pelo servidor da web negociação de SSL.

Gateway de gestão de ameaça cria o cabeçalho SNI incorrectamente utilizando o nome do servidor a montante e não o nome do servidor do destino web caso se verifiquem as seguintes condições:

• Gateway de gestão de ameaça é um servidor proxy.

• Gateway de gestão de ameaça cadeias pedidos a enviar para um servidor de Gateway de gestão de ameaça montante.

• O conjunto de parâmetro de fornecedor de HTTPSiDontUseOldClientProtocols é activado por 2545464 da KB.

Isto pode causar erros de conectividade ou erros no servidor web, dependendo da forma como o servidor web reage ao cabeçalho SNI incorrecto.