HTTPS 检查选项

　　配置 HTTPS 检查之前，了解组成此功能的完整功能集和选项非常重要。图 6 显示了可以配置 HTTPS 检查的区域。

▲图 6 HTTPS 检查功能集

　　在计划实现 HTTPS 检查时，需要首先考虑证书设置，以确定是使用自签名证书还是由内部 CA 发出的证书。导入现有的受信任证书颁发机构时，需要有包含颁发机构的证书及其私钥的 PFX 文件。您需要此私钥对 TMG 发出的仿冒证书签名，还必须确保为证书签名设置了证书的密钥使用。随后，此 CA 证书必须部署在客户端计算机上(位于本地计算机证书存储区的“受信任根证书颁发机构”下);否则，客户端将不会信任从 TMG 接收的服务器证书。

　　在 Forefront TMG 上，可以通过 Web 访问策略启用 HTTPS 检查功能。请按以下步骤操作，启用此功能：

　　在 Forefront TMG 控制台中，单击“Web 访问策略”，然后在“任务”窗格的“Web 保护任务”下选择“配置 HTTPS 检查”。

　　在“HTTPS 出站检查”屏幕的“常规”选项卡上，选择“启用 HTTPS 检查”复选框，如图 7 中所示。

▲　　图 7 启用 HTTPS 检查

　　本例中将使用 Forefront TMG 自签名证书。单击“生成”，此时将显示类似于图 8 中的页面。

▲图 8“生成证书”窗口

　　在“生成证书”页上，根据公司需要填写颁发者名称、过期日期和 Issuer 语句，然后单击“立即生成证书”。

　　此时将生成新证书并弹出“证书”页。验证证书配置并单击“关闭”。

　　单击“确定”以关闭窗口。

　　在“HTTPS 出站检查”窗口上，单击“HTTPS 检查受信任的根 CA 证书选项”按钮。此时将显示“证书部署选项”窗口，如图 9 中所示。

▲图 9 选择如何部署证书

　　如果 TMG 属于某个域，则建议的部署方法为“自动通过 Active Directory”。选择此选项时，系统会自动使用组策略将 TMG CA 证书部署到客户端计算机。单击“域管理员凭据”按钮，然后键入将供此操作使用的凭据。单击“确定”。请注意，在用户名字段中不应包括域。

　　由于 Forefront TMG 使用 certutil 工具将 TMG CA 证书发布到 Active Directory，因此您可能会看到命令提示简要窗口。依次在“自动证书部署成功”消息框和“证书部署选项”窗口上单击“确定”。

　　单击“确定”以完成。

　　重要说明：除了满足组织的安全策略之外，在启用 HTTPS 检查功能之前，还需要评估所有法律和监管规章。可以将任何认定为不适合使用 HTTPS 检查的站点添加到例外列表中。

　　增强的用户体验

　　Forefront TMG 中的 HTTPS 检查和 URL 筛选不仅有助于向最终用户提供受保护的网络漫游环境，还包括可增强最终用户体验的功能，这一点可以通过提供信息性消息以及提供直接与最终用户相关的自定义或精确错误消息来实现。

　　HTTPS 客户端通知

　　为保证遵守公司的隐私策略，可以启用客户端通知，以便在对 SSL 站点进行检查时提醒最终用户，并向最终用户提供退出该站点的选项，从而保护最终用户认为或归类为个人信息的内容。图 10 说明了此行为。

▲图 10 HTTPS 检查客户端通知

　　用户要接收 HTTPS 检查通知，客户端计算机必须安装了 Forefront TMG Client，并且必须在本地计算机的“受信任根证书颁发机构”证书存储区中安装了 HTTPS 检查受信任根证书颁发机构。请记住，如果您具有上游和下游 TMG 配置，则需要在下游代理而非上游代理上启用 HTTPS 通知。

　　若要实现 HTTPS 检查客户端通知，必须同时在 Forefront TMG 服务器和客户端上启用它。若要在服务器上启用 HTTPS 检查通知，请执行以下操作：

　　在 Forefront TMG 管理控制台中，单击“Web 访问策略”。

　　在右侧窗格中的“任务”下，单击“配置 HTTPS 检查”。

　　在“客户端通知”选项卡上，单击“通知用户将检查 HTTPS 内容”，然后单击“确定”。

　　若要在 Forefront TMG Client 上启用通知，请执行以下操作：

　　在系统任务栏中右键单击 Forefront TMG Client 图标，然后单击“配置”。

　　在“安全连接检查”选项卡上，选择“需要检查发送到安全网站的内容时通知我”，然后单击“确定”。