질문:
Cisco WSA(Web Security Appliance)에서 HTTPS 트래픽을 해독할 때 MSN Live Messenger에 로그인할 수 없는 이유는 무엇입니까?
환경:MSN Live Messenger, HTTPS 프록시 및 암호 해독이 활성화된 WSA
증상:MSN Live Messenger에 로그인할 수 없습니다.
액세스 로그에는 다음과 같은 WSA 암호 해독 트래픽(DECRYPT_xxx)이 표시됩니다.
126518487.178 67 xx.xx.xx.xx TCP_MISS_SSL/200 0 TCP_CONNECT 65.54.165.137:443 - DIRECT/65.54.165.137 - DECRYPT_ADMIN_7-DefaultGroup-DefaultGroup-NONE-NONE-DefaultGroup <-",",",-"-" "-,,-,,"-","-,,-,"-","-","-","-","-",",-,-,-,"-","-","-","-","-",",0.00,0,[원격],"-"-"-""-","-"
근본 원인
MSN Messenger는 IE(Internet Explorer) 브라우저에 구성된 프록시 설정을 사용합니다.MSN 메신저가 MSN 서버에 연결하려고 하면 WSA는 WSA에서 업로드하거나 생성한 HTTPS 인증서(GUI > 보안 서비스 > HTTPS 프록시)를 사용하여 요청을 인터셉트하고 해독합니다. 따라서 MSN 메신저는 MSN 서버에 대한 SSL 인증서를 받지만 WSA 프록시에서 서명/발급합니다. WSA는 신뢰할 수 없으며 로그인을 계속할 수 없습니다..
솔루션
IE의 클라이언트 컴퓨터에서 프록시의 HTTPS 인증서를 가져옵니다.
WSA의 GUI > Security Services> HTTPS 프록시> Edit Settings(설정 수정) > Download Certificate(인증서 다운로드)에서 인증서를 다운로드할 수 있습니다.
메모
기본적으로 WBRS 점수가 -9.0에서 +6.0인 WSA 'Decrypt' 사이트의 암호 해독 정책이 적용됩니다. 대부분의 경우 MSN 로그온 페이지는 일반적으로 이 기본 WBRS 암호 해독 범위에 속하지 않으므로 기본 구성에서 이 동작이 관찰되지 않습니다.