如果启用 HTTPS 检查访问失败威胁管理网关 2010 年前 SNI SSL 网站

症状

请考虑以下情形：

• 您尝试访问 Microsoft 最前沿威胁管理网关 2010 年前的安全套接字层 (SSL) 的网站。

• 网站使用服务器名称指示 (SNI) 来确定要提供的证书。

• 威胁管理网关 HTTPS 检查处于启用状态。

• 威胁管理网关服务器使用链接来将传出的 web 请求发送到上游代理服务器的 web。

• （每KB 2545464) 启用的HTTPSiDontUseOldClientProtocols供应商参数集。

在这种情况下，您无法访问该网站。

原因

发生此问题是因为威胁管理网关建立连接错误或 web 服务器错误将导致不正确的 SNI 头。

解决方案

若要解决此问题，请在所有威胁管理网关阵列成员上应用此修补程序。默认情况下不启用此修补程序。安装此修复程序后，您必须按照以下步骤启用此修复程序︰

1. 将以下脚本复制到文本编辑器 （如记事本），然后再将其保存为 UseOriginalHostNameInSslContex.vbs:
   
   

   '' Copyright (c) Microsoft Corporation. All rights reserved.
   ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
   ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
   ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
   ' HEREBY PERMITTED.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
   Const SE_VPS_VALUE = TRUE
   Sub SetValue()
       ' Create the root object.
       Dim root
       ' The FPCLib.FPC root object
       Set root = CreateObject("FPC.Root")
       'Declare the other objects that are needed.
       Dim array       ' An FPCArray object
       Dim VendorSets
       ' An FPCVendorParametersSets collection
       Dim VendorSet
       ' An FPCVendorParametersSet object
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
       If Err.Number <> 0 Then
           Err.Clear        ' Add the item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
       Else
           WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
       End If
       if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   End Sub
   Sub CheckError()
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   End Sub
   SetValue
   

2. 威胁管理网关数组成员，复制的脚本文件，然后双击该文件以运行该脚本。

若要还原到默认行为，请执行以下步骤︰

1. 找到下面一行的脚本︰
   
   

   Const SE_VPS_VALUE = true

2. 将此行更改为如下︰
   
   

   Const SE_VPS_VALUE = false

3. 重新运行上一个威胁管理网关阵列成员的脚本。

详细信息

SNI 时正在访问 SSL 传输层安全性 (TLS) 功能，使客户端能够发送中完全指示的 SSL 客户端"Hello"消息的标头限定域名称 (FQDN)。此操作使服务器以确定该证书发送到客户端根据 SNI 头。

威胁管理网关 SSL 检查启用时，威胁管理网关处理到目标 web 服务器的 SSL 协商，并由客户端与 web 服务器 SSL 协商。

威胁管理网关将满足以下条件时使用上游服务器的名称，并不是目标 web 服务器名称不正确生成 SNI 头︰

• 威胁管理网关是下游代理服务器。

• 威胁管理网关链接到上游威胁管理网关服务器的传出请求。

• 每KB 2545464， HTTPSiDontUseOldClientProtocols供应商参数集处于启用状态。

这可能导致连接错误或 web 服务器错误，具体取决于 web 服务器正确 SNI 到头的反应。