安全 : Cisco IronPort Web 安全设备

当WSA解密HTTPS流量时,为什么不能登陆到MSN Live Messenger ?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

目录

贡献用雅各布Dohrmann和Siddharth Rajpathak, Cisco TAC工程师。

问题:

为什么不能登陆到MSN Live Messenger,当思科Web安全工具(WSA)时解密HTTPS流量?

环境:MSN Live Messenger,与HTTPS启用的代理和解密的WSA

症状:不能登陆到MSN Live Messenger。

访问日志显示解密流量(DECRYPT_xxx)类似如下的WSA : :

1265184887.178 67 xx.xx.xx.xx TCP_MISS_SSL/200 0 TCP_CONNECT 65.54.165.137:443 - DIRECT/65.54.165.137 - DECRYPT_ADMIN_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup <-,-,"-","-",-,-,-,"-","-",-,-,-,"-","-","-","-","-",-,-,-,-,"-","-","-","-","-","-",0.00,0,[Remote],"-","-"> -

根本原因

MSN Messenger在Internet Explorer (IE)浏览器使用配置的代理设置。当MSN Messenger设法连接到MSN服务器时, WSA拦截请求并且解密它通过使用在WSA上传或生成的HTTPS证书(在GUI > Security Services> HTTPS代理下)。因此, MSN Messenger接收一SSL证书MSN服务器的,但是签字/发出由WSA代理,不委托和,因此不继续进行登陆。

解决方案

导入在客户端机器的代理的HTTPS证书在IE。

您能下载从WSA的证书在GUI > Security Services> HTTPS代理> Edit设置>下载证书下。

注意

默认情况下,在WSA ‘解密’站点的解密策略有WBRS分数的-9.0到+6.0。在大多数情况下, MSN登录页在此默认WBRS解密范围通常不会下跌并且此行为是不太可能被观察在默认配置。


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 118151