最近,我切换到了无线 EVDO 宽带连接。EVDO 调制解调器连接到一台 PC,而我家 LAN(基于工作组,无域)上的其他 PC 使用 FreeProxy(来自 Handcraftedsoftware.org 的 v.3.92)通过它进行连接
我对他的设置很满意,除了 Outlook。我的笔记本电脑上运行着 Outlook 2003,每次 Outlook 连接检查电子邮件时,我都必须关闭几个对话框并显示以下消息:
网络安全警告您所连接的服务器正在使用无法验证的安全证书。
证书的 CN 名称与传递的值不匹配。
您想继续使用该服务器吗?
在 Outlook 中,我将运行 FreeProxy 的计算机的 IP 地址指定为我的每个电子邮件帐户的服务器地址,然后在 FreeProxy 中我配置传入端口号以匹配我在 Outlook 中输入的内容,并配置传出端口号以匹配我的电子邮件服务所需的端口号。
我想我明白这里发生了什么。由于这些服务中有几项需要安全连接,因此 Outlook 警告我,无法验证与 FreeProxy 的连接是否可信,因为 FreeProxy 没有安全证书。但由于此连接只是第一跳,并且完全在我自己的内部局域网内,所以我并不关心这一点。我真正关心的是不是每次 Outlook 连接时都必须单击多个对话框才能消除警告。
我在网上找到了一些自签名证书,这些证书可以与 Outlook 一起使用以避免出现此警告,但它们似乎都适用于 IIS 上的 Exchange Server 或 Outook Web Access。在这种情况下,我可以使用其中一种证书吗?如果可以,我该如何获取证书,然后如何让 Outlook 客户端识别它?如果不行,我是否可以更改其他安全设置,以便这些对话框不再困扰我。
我将其发布在这里而不是 ServerFault,因为我不是服务器管理员,我不知道我是否能理解我可能在那里得到的任何答案。:-) 谢谢!
答案1
我建议您设置网络地址转换,而不是使用 HTTP 代理,以在 IP 层移动 IP 数据包。这将通过 SSL 连接,而无需在网关 PC 上解密,并消除安全警告。基本上,Outlook 会告诉您,您的网关 PC 正在尝试执行中间人攻击,实际上确实如此。
SSL(加密)连接的工作方式是,如果有人坐在你和你正在通信的服务器之间,并且只是查看加密流量。该协议旨在适应其他计算机(无论是否受信任)可以看到您的加密流量。但如果其他计算机可以看到您的加密流量,例如使用 HTTP 代理,协议会立即意识到这一事实,并将连接标记为不安全。
您可以在网关 PC(连接到 EvDO 调制解调器的 PC)上设置网络地址转换,例如使用 Windows Internet 连接共享。这样,连接的其他 PC 就可以在私有子网上拥有一个私有 IP 地址,而这些地址最终都会路由到 EvDO 调制解调器。它基本上将您的网关 PC 视为路由器。(请注意,“网关”一词是指执行路由器和/或防火墙功能的盒子,用于将流量推送到另一个网络;在本例中为公共互联网)。
设置 Windows ICS 的指南非常常见,不仅在 SU 上,而且在 Microsoft 知识库和 Windows 帮助中也随处可见。在寻求有关如何设置 ICS 的帮助之前,请先探索一些现有的相关资源。
你对证书的研究是正确的。从技术上讲,确实有一种方法可以诱导沉默的通过信任您的 freeproxy 服务器拥有其签名密钥的根 CA,可以防止中间人攻击。我不知道实际的 freeproxy 程序是否能够基于域加密流量,但 Burp 等程序肯定可以,并且有现有的指南解释如何设置它(在 Burp 的站点 portswigger.net 上)。
但是,ICS 是一种更加灵活的解决方案,不涉及这种配置麻烦,因此我强烈推荐它。