透過威脅管理閘道 2010 SNI SSL 網站如果 HTTPS 檢查已啟用失敗的存取

狀況

請考慮下列情況：

• 您嘗試透過 Microsoft Forefront 威脅管理閘道 2010年存取安全通訊端層 (SSL) 網站。

• 網站會使用伺服器名稱指示 (SNI)，來判斷哪一個服務的憑證。

• 威脅管理閘道 HTTPS 檢查已啟用。

• 威脅管理閘道伺服器會使用網頁鏈結將傳出的 web 要求傳送至上游 proxy 伺服器。

• HTTPSiDontUseOldClientProtocols的廠商參數集已啟用 （每個KB 2545464)。

在這個案例中，您無法存取網站。

原因

之所以發生這個問題，因為威脅管理閘道建置不正確的 SNI 標頭會導致連線錯誤 」 或 「 web 伺服器的錯誤。

解決方案

若要解決這個問題，請在所有的威脅管理閘道陣列成員上套用此 hotfix。預設不啟用這個 hotfix。安裝此 hotfix 之後，您必須遵循這些步驟來啟用此修正程式︰

1. 將下列指令碼複製到文字編輯器，例如 「 記事本 」，並將其儲存為 UseOriginalHostNameInSslContex.vbs:
   
   

   '' Copyright (c) Microsoft Corporation. All rights reserved.
   ' THIS CODE IS MADE AVAILABLE AS IS, WITHOUT WARRANTY OF ANY KIND. THE ENTIRE
   ' RISK OF THE USE OR THE RESULTS FROM THE USE OF THIS CODE REMAINS WITH THE
   ' USER. USE AND REDISTRIBUTION OF THIS CODE, WITH OR WITHOUT MODIFICATION, IS
   ' HEREBY PERMITTED.
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   ' This script forces TMG to use original host name for SSL context when connecting to target server via upstream proxy
   ''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''
   Const SE_VPS_GUID = "{143F5698-103B-12D4-FF34-1F34767DEabc}"
   Const SE_VPS_NAME = "UseOriginalHostNameInSslContex"
   Const SE_VPS_VALUE = TRUE
   Sub SetValue()
       ' Create the root object.
       Dim root
       ' The FPCLib.FPC root object
       Set root = CreateObject("FPC.Root")
       'Declare the other objects that are needed.
       Dim array       ' An FPCArray object
       Dim VendorSets
       ' An FPCVendorParametersSets collection
       Dim VendorSet
       ' An FPCVendorParametersSet object
       Set array = root.GetContainingArray
       Set VendorSets = array.VendorParametersSets
       On Error Resume Next
       Set VendorSet = VendorSets.Item( SE_VPS_GUID )
       If Err.Number <> 0 Then
           Err.Clear        ' Add the item.
           Set VendorSet = VendorSets.Add( SE_VPS_GUID )
           CheckError
           WScript.Echo "New VendorSet added... " & VendorSet.Name
       Else
           WScript.Echo "Existing VendorSet found... value: " &  VendorSet.Value(SE_VPS_NAME)
       End If
       if VendorSet.Value(SE_VPS_NAME)  <>  SE_VPS_VALUE Then
           Err.Clear
           VendorSet.Value(SE_VPS_NAME) = SE_VPS_VALUE
           If Err.Number <> 0 Then
               CheckError
           Else
               VendorSets.Save false, true
               CheckError
               If Err.Number = 0 Then
                   WScript.Echo "Done with " & SE_VPS_NAME & ", saved!"
               End If
           End If
       Else
           WScript.Echo "Done with " & SE_VPS_NAME & ", no change!"
       End If
   End Sub
   Sub CheckError()
       If Err.Number <> 0 Then
           WScript.Echo "An error occurred: 0x" & Hex(Err.Number) & " " & Err.Description
           Err.Clear
       End If
   End Sub
   SetValue
   

2. 將指令碼檔案複製到威脅管理閘道陣列成員，然後再按兩下 [執行指令碼檔案。

若要回復預設行為，請依照下列步驟執行︰

1. 找出下列這一行指令碼︰
   
   

   Const SE_VPS_VALUE = true

2. 變更下列這一行︰
   
   

   Const SE_VPS_VALUE = false

3. 請重新執行其中一項威脅管理閘道的陣列成員上的指令碼。

更多的資訊

SNI 是一種 SSL 傳輸層安全性 (TLS) 功能，可讓用戶端傳送的標頭中指出哪一個完整的 SSL 用戶端"Hello"的訊息格式的網域名稱 (FQDN) 正在存取。這個動作可讓您的伺服器，以判定其憑證傳送至用戶端根據 SNI 標頭。

啟用威脅管理閘道 SSL 檢查時，威脅管理閘道會處理 SSL 交涉過程中的，以目標 web 伺服器，並由 web 伺服器 SSL 交涉過程中識別為用戶端。

威脅管理閘道使用上游伺服器的名稱而不是目標 web 伺服器名稱，如果下列情況成立，請以正確建置 SNI 標頭︰

• 威脅管理閘道會是下游的 proxy 伺服器。

• 威脅管理閘道鏈結到上游威脅管理閘道伺服器的外寄要求。

• HTTPSiDontUseOldClientProtocols的廠商參數集已啟用每個KB 2545464。

這會造成連線錯誤 」 或 「 web 伺服器的錯誤，取決於 web 伺服器到不正確的 SNI 標頭的反應如何。