共用方式為

啟用及設定 HTTPS 檢查功能

  • 發行項

發佈時間: 2009年11月

適用於: Forefront Threat Management Gateway (TMG)

下列程序說明如何啟用和設定 Forefront TMG 中的 HTTPS 檢查功能:

  • 啟用 HTTPS 檢查

  • 從 HTTPS 檢查中排除網站和電腦

  • 設定憑證驗證原則

啟用 HTTPS 檢查

  1. 在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [網頁存取原則] 節點。

  2. [工作] 窗格中,按一下 [設定網頁存取原則]

  3. 在「網頁存取原則精靈」的 [HTTPS 檢查設定] 頁面上,選取 [允許使用者建立到網站的 HTTPS 連線],然後選取所需的保護類型。

    接下來,您所採取的步驟主要取決於選取的保護類型:

    • 如果您選取了 [檢查 HTTPS 流量和驗證 HTTPS 網站憑證],請繼續進行此程序的後續步驟。

    • 如果您選取了 [不要檢查 HTTPS 流量,但驗證 HTTPS 網站憑證],就已完成此程序。請按 [下一步] 繼續進行此精靈的後續步驟。在精靈結束時,請按一下 [完成],然後按一下 [套用變更] 列上的 [套用]。然後,請移至設定憑證驗證原則。

  4. 在精靈的 [HTTPS 檢查喜好設定] 頁面上,選取是否要通知使用者正在檢查 HTTPS 流量。

    重要

    如果您選取要啟用使用者通知,請透過在 [安全連線檢查] 索引標籤上選取 [檢查傳送至安全網站的內容時通知我],在所有用戶端電腦上啟用 Forefront TMG 用戶端的 HTTPS 檢查通知。

  5. 在精靈的 [HTTPS 檢查喜好設定] 頁面上,選取要使用 Forefront TMG 建立 HTTPS 檢查憑證、自訂憑證的某些方面 (例如,其名稱),還是要匯入現有的憑證。如需詳細資訊,請參閱管理 HTTPS 檢查憑證

  6. 在精靈的 [憑證部署喜好設定] 頁面上,選取要透過 Active Directory (自動),還是透過匯出和匯入憑證 (手動) 部署 HTTPS 檢查受信任的根憑證授權單位憑證。

    注意

    使用 Active Directory,將 HTTPS 檢查憑證部署至用戶端電腦時,請在 [網域系統管理員使用者名稱] 方塊中,以 Domain\Username 格式輸入名稱。請注意,用來定義使用者帳戶的網域必須是 Forefront TMG 加入的相同網域。如需詳細資訊,請參閱管理 HTTPS 檢查憑證

  7. 在精靈中繼續進行,然後在精靈結束時按一下 [完成]。在 [套用變更] 列上,按一下 [套用]

從 HTTPS 檢查中排除網站和電腦

  1. 在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [網頁存取原則] 節點。

  2. [工作] 窗格中,按一下 [設定 HTTPS 檢查]

  3. 若要從檢查中排除網站,請在 [目的地例外] 索引標籤上,按一下 [新增]

  4. [新增網路實體] 對話方塊中,選取您想要從 HTTPS 檢查中排除的 URL 類別、URL 類別集合和網域名稱,然後按一下 [新增]。如果您想要排除不在現有清單上的類別集合或網域組,請按一下 [新增],然後建立所需的集合。

    新增網站完成之後,請按一下 [關閉]

  5. 根據預設,Forefront TMG 會針對所有網站檢查 HTTPS 憑證的有效性,包括您從檢查中排除的網站。如果您不希望 Forefront TMG 針對特定網站執行此安全性檢查,請按一下該網站,然後按一下 [不驗證]

  6. 若要從檢查中排除電腦,請在 [來源例外] 索引標籤上,按一下 [新增]

  7. [新增網路實體] 對話方塊中,選取您想要從 HTTPS 檢查中排除的電腦和電腦組,然後按一下 [新增]。如果您想要排除不在現有清單上的電腦或電腦組,請按一下 [新增],然後建立所需的項目。新增電腦完成之後,請按一下 [關閉]

設定憑證驗證原則

  1. 在 [Forefront TMG 管理] 主控台的樹狀目錄中,按一下 [網頁存取原則] 節點。

  2. [工作] 窗格的 [網頁保護工作] 底下,按一下 [設定 HTTPS 檢查]

  3. [憑證驗證] 索引標籤上,視需要調整憑證驗證設定。

    注意

    為了讓 Forefront TMG 檢查憑證是否已經撤銷,必須啟用「允許所有從 Forefront TMG 來的 HTTP 流量到所有的網路 (供 CRL 下載用)」系統原則規則。如果未啟用此規則,Forefront TMG 可能會允許不需驗證憑證撤銷狀態,即可存取 HTTPS 網站。

  4. 如果在您啟用 HTTPS 檢查時所選取的保護類型包括檢查 HTTPS 流量,請選取 [目的地例外] 索引標籤,然後檢閱已從檢查中排除的 HTTPS 網站清單。根據預設,Forefront TMG 會針對這些網站檢查憑證的有效性。如果您不希望 Forefront TMG 驗證 HTTPS 檢查所排除之網站的憑證,請按一下該網站,然後按一下 [不驗證]

  5. 按一下 [確定],然後按一下 [套用變更] 列上的 [套用]

相關主題

概念

在 Forefront TMG 安全網路閘道中設定 HTTPS 檢查