在 Chrome 设备上设置 TLS(或 SSL)检查

关于 Chrome 设备上的 TLS(或 SSL)检查

传输层安全性 (TLS) 检查(也称为 SSL 检查)是由第三方网络过滤器提供的安全功能。借助此功能,您可以设置网络过滤器,以检测在线威胁。

提示:请在部署期间尽早设置 TLS 检查,以确保用户可以顺利访问网站。

前期准备

要设置 TLS 检查,请注意:

  • 您需要网络过滤器提供商的 TLS 或 SSL 证书。请联系提供商获取证书。系统不支持 DER 编码证书。Chrome 设备仅支持 PEM 格式。要获取针对常用提供商的信息,请参阅使用 Zscaler 配置 Chrome 设备以及如何使用 Barracuda 配置 Chromebook
  • 网络流量应通过代理连接发送到您的网络过滤器。系统不支持透明或内嵌的代理。如果您需要使用这种类型的代理,请将 *.google.com 列入白名单,以允许所有 google.com 请求在无需 TLS 检查的情况下通过。但是,此配置不受支持。要了解更多信息,请参阅关于透明代理
  • 服务器名称指示 (SNI) 目前不受支持,但有此功能的待处理请求
  • 如果启用了 TLS 检查,用户就无法使用多帐号登录访问权限

透明代理

关于透明代理

透明或内嵌代理通过查看 TLS 证书(或 SSL 证书)来确定请求网址。在大多数情况下,与 TLS 证书关联的域名(公用名)与请求的网址匹配。代理会根据网址白名单检查公用名,然后确定是否允许流量通过。但是,许多大型单位会为公用名购买不使用显式网址的通配符 TLS 证书。例如,Google 使用 *.google.com 作为 Chrome 设备运行所需的许多网址的公用名。

证书信息的外观如下:

Certificate viewer

要使透明代理起作用,您需要将 *.google.com 添加到网址白名单中,以允许指向 *.google.com 的所有流量通过。由于现有 Chrome 安全功能的限制,此配置不受支持,我们建议您不要使用透明代理。

该内容对您有帮助吗?
您有什么改进建议?