¿Cómo se combinan la inspección de Lync y SSL?

6

La lista blanca de todos los nombres de host de Lync es incómoda. Desactivar globalmente la inspección SSL no es deseable.

En un lugar donde trabajo, tienen habilitada la inspección SSL en su proxy. Todo el tráfico a Internet tiene que ir a través de este servidor proxy.

La mayoría de las veces, no es un problema, excepto cuando se trata de Lync. Esta compañía ha elegido ser federada con todos .

Ahora, cuando intentamos establecer conferencias, pizarra, uso compartido de escritorio con empresas externas, por lo general falla.

Cuando rastreamos el tráfico, hemos podido identificar los nombres de host utilizados para el tráfico de Lync y los hemos eximido de la inspección de SSL.

Ahora, el problema es que esto fue solo para una compañía. Y probablemente tenemos que hacer esto de nuevo por otro. Y otra, y otra ... Como cada compañía diferente tiene su propia infraestructura de Lync y nombres de host para los servicios de Lync.

Esto me da la impresión de que Lync está obligando a algunas compañías a desactivar la inspección SSL a nivel mundial, ya que el usuario requiere Lync, y el trabajo manual requerido para eximir a los sitios de la inspección es demasiado grande.

Seguramente hay una mejor manera?

Si bien esta es una pregunta abierta sobre cómo manejar esta situación, algunas soluciones son mejores que otras. Los KB oficiales de Lync y los proveedores de proxy dicen lo mismo: usted tiene que agregar a la lista blanca los hosts de Lync. Pero ignoran que hay muchos de ellos por ahí.

Entonces, si tiene una solución mejor, publíquela como una respuesta a continuación.

Fondo

Y me gustaría agregar los motivos por los que la inspección SSL no funciona:

  1. Lync no habla SSL estándar
  2. Lync solo permite certificados originados en los servidores de Lync. (Fijación de clave pública / certificado.) Ignora las CA de confianza instaladas en los equipos cliente, por lo que el certificado emitido por el proxy no es válido para Lync.
pregunta Dog eat cat world 13.11.2015 - 09:47
fuente

1 respuesta

2

Si los hechos que menciona en la sección de Antecedentes son ciertos, no hay otra forma de hacerlo funcionar. Si una aplicación cliente busca una firma específica, no puede usar su proxy.

Creo que la mejor manera de manejarlo es escribir un script que identifique los servidores de Lync y agregarlo a la lista de exentos.

    
respondido por el Yehuda 03.04.2016 - 00:55
fuente

Lea otras preguntas en las etiquetas