我目前正在客户处工作,他们使用带有 HTTPS 检查的 Web 代理:对于每个 HTTPS 连接,代理充当中间人,终止 HTTPS 通道,使用其自己的内部 CA 生成新证书并将其呈现给客户端;当然,客户端会抱怨证书无效:为了避免这种情况,我已将代理根证书导入计算机的本地证书存储中。我可以成功浏览 HTTPS 网站,并且没有收到任何警告;这包括我公司 Exchange 服务器上的 OWA。
但是,Outlook Anywhere(使用与 OWA 完全相同的公共名称和证书)不起作用。Outlook 没有给出任何错误消息,它根本无法连接。
为什么?我该如何解决这个问题?
答案1
他们使用的代理服务器是什么?我知道使用 WinGate,您可以根据许多因素配置一些非常独特的策略,这些策略可能对您有帮助?
我建议您查看代理服务器日志文件,它应该会为您提供有关失败原因的线索。
答案2
Outlook 客户端的运行完全按照设计进行 - 它有效地保护您的 Outlook Anywhere 流量免受“中间人”攻击。
客户端自动发现过程可能会再次确认“仅连接到其证书中具有此主体名称的代理服务器”选项 - 再次,按照设计。
我相信您唯一的选择是(1)与深度数据包检查防火墙管理员合作,修改代理服务器内的策略以将您的 Outlook Anywhere 流量作为例外处理并消除“中间人”检查(例如,说服管理员“信任”来自您的 Exchange 客户端访问服务器的流量),(2)查看客户端是否可以为您提供绕过深度数据包检查 MITM 代理服务器的“访客”网络的访问权限,或者(3)在该客户端网络上使用 OWA 访问您的邮箱。