none
Проверка HTTPS на TMG 2010 RRS feed

  • Вопрос

  • После того, как включил проверку HTTPS на TMG 2010, часть сайтов просто перенстали грузиться. Причём, в окне броузера возникает ошибка: Internet Explorer не может отобразить эту веб-страницу, TMG при этом не подставляет свою какую-то страницу, информирующую пользователя, что на мой взгляд не правильно!
    Выяснение проблемы привело к следующему: TMG делает проверку сертификата сервера, и в данных случаях обнаруживает несоответствие в сертификате в поле subject и поэтому отключает. Причём, если заглянуть в сертификат, то увидим, что выдан он компании, но в поле проставлено *.domain. TMG такого не понимает. Вот пример:
    Сайт: https://enter.webmoney.ru/
    Вот, что указано в сертификате:
    CN = *.webmoney.ru
    OU = Secure Link SSL Wildcard
    OU = WebMoney Transfer Technical Support
    O = CJSC Computing Forces
    STREET = 71/11 Sadovnitcheskaya st.
    L = Moscow
    S = RU
    PostalCode = 115035
    C = RU

    При этом в Настройка отзыва сертификатов все галочки сняты, оставлена только для проверки клиента.
    Вопрос: Как научить TMG (если это правильно!) либо считать это за "норму" * в имени, либо выдавать информативную ошибку для пользователя?

    Еще, вопрос номер 2:
    Проблема опять же с проверкой HTTPS: при проверке, броузер показывает: Internet Explorer не может отобразить эту веб-страницу
    Сервер в журнале выдаёт следующее:

    Неудачная попытка соединения TMG 03.11.2010 14:02:32
    Тип журнала: Веб-прокси (прямой)
    Состояние: 11 Была сделана попытка загрузить программу, имеющую неверный формат
    Правило: Allow Internet
    Источник: Внутренняя (192.168.13.81:50449)
    Назначение: Внешняя (188.40.238.252:443)
    Запрос: secure.eicar.org:443
    Информация фильтра: Req ID: 12a83caa; Compression: client=No, server=No, compress rate=0% decompress rate=0%
    Протокол: https-inspect  

    Вопрос: что за неверный формат? Пример: https://secure.eicar.org/

    P.S.: TMG 2010 SP1, SU 1


    Green
    3 ноября 2010 г. 11:08

Ответы

Все ответы

  • неправильно писать "не правильно" :)

    с wildcard сертификатами это известная фича, читаем матчасть http://technet.microsoft.com/en-us/library/ee796230.aspx и добавляем такие сайты в исключения

     

    • Помечено в качестве ответа Alexey Enin 9 ноября 2010 г. 11:11
    8 ноября 2010 г. 15:49
    Отвечающий
  • Это все правильно, но вот как Skype добавить в исключение? Сейчас только один компьютер внесен в исключение источника, т.е Skype работать будет только там  :-)
    А самое главное, мне не понятно, почему в случае "плохого" сертификата пользователю не отдается страничка об ошибкe!
    Green
    9 ноября 2010 г. 11:22
  • про скайп тут недавно был целый тред, поиск погляди

    9 ноября 2010 г. 15:21
    Отвечающий
  • Самое интересное, если включить исключения источника, указав нужный компьютер или группу, то Skype не работает! К тому же, похоже проблема не в сертификатах, а в способах шифрования, TMG просто не может расшифровать трафик на своей стороне. Это большой плюс, для тех, кто хочет отключить Skype в своей сети - просто включить проверку HTTPS. Но, если в сети, есть компьютер, который выходт в обход TMG, то внутри сети Skype скорее всего работать будет, так как пиринговая сеть :-)


    Green
    1 декабря 2010 г. 10:20
  • исключениями нужно делать домены, а не машины. даже если добавляешь определенные машины в исключения из проверки https, не на все сайты проканывает, заходишь в настройки https, и там есть список доменов веб-сайты исключенные из проверки https, вот туда и вбиваешь тот домен который блочится.
    12 января 2011 г. 14:42
  • Совсем отключил проверку HTTPS!!! Надоели эти пляски с сертификатами и исключениями. Большую часть сайтов приходиться исключать из-за того что возникают ошибки проверки сертификатов. Самое удивительное, что есть функционал, отключающие проверку трафика, мне же как раз необходимо проверять трафик, сертификаты меня вообще не волнуют. Да, вилдкард и что теперь!? Кроме этого возникают ошибки на нормальных сертификатах и как следствие, пользователи жалуются, что ничего не работает.
    Так что, соратники ПОРА ДОБАВИТЬ ФУНКЦИЮ ОТКЛЮЧЕНИЕ ПРОВЕРКИ СЕРТИФИКАТОВ, ПРОВЕРЯТЬ ТОЛЬКО ТРАФИК!
    Green
    2 марта 2011 г. 12:35
  • После установки SU1 обновление 4 для TMG 2010 SP1 проблема решилась, не уверен до конца, но часть ресурсов, например, проверка антивруса через сайт EICAR.COM работает!


    Green
    12 августа 2011 г. 12:02