问题:
为什么不能登陆到MSN Live Messenger,当思科Web安全工具(WSA)时解密HTTPS流量?
环境:MSN Live Messenger,与HTTPS启用的代理和解密的WSA
症状:不能登陆到MSN Live Messenger。
访问日志显示解密流量(DECRYPT_xxx)类似如下的WSA : :
1265184887.178 67 xx.xx.xx.xx TCP_MISS_SSL/200 0 TCP_CONNECT 65.54.165.137:443 - DIRECT/65.54.165.137 - DECRYPT_ADMIN_7-DefaultGroup-DefaultGroup-NONE-NONE-NONE-DefaultGroup <-,-,"-","-",-,-,-,"-","-",-,-,-,"-","-","-","-","-",-,-,-,-,"-","-","-","-","-","-",0.00,0,[Remote],"-","-"> -
根本原因
MSN Messenger在Internet Explorer (IE)浏览器使用配置的代理设置。当MSN Messenger设法连接到MSN服务器时, WSA拦截请求并且解密它通过使用在WSA上传或生成的HTTPS证书(在GUI > Security Services> HTTPS代理下)。因此, MSN Messenger接收一SSL证书MSN服务器的,但是签字/发出由WSA代理,不委托和,因此不继续进行登陆。
解决方案
导入在客户端机器的代理的HTTPS证书在IE。
您能下载从WSA的证书在GUI > Security Services> HTTPS代理> Edit设置>下载证书下。
注意
默认情况下,在WSA ‘解密’站点的解密策略有WBRS分数的-9.0到+6.0。在大多数情况下, MSN登录页在此默认WBRS解密范围通常不会下跌并且此行为是不太可能被观察在默认配置。