如果一个网域启用了 TLS 检查(也称为 SSL 检查),必须将部分主机名设为例外以使其免受检查,该网域中的 ChromeOS 和 Chrome 企业核心版设备才能正常工作。因为您只能在用户级别导入证书,且证书仅支持用户级别的流量。部分设备级别的流量不会使用此 TLS 或 SSL 证书来保护用户免受某些类别的安全风险。
对主机名许可名单的更新
- 2024 年 10 月 29 日:在针对所有设备的许可名单中增加了主机名 aratea-pa.googleapis.com。
展开该列表可查看过往更新。
过往更新
- 2024 年 8 月 20 日:将其他主机名 www.gstatic.com 和 ssl.gstatic.com 添加到了 ChromeOS 登录的许可名单。
- 2024 年 5 月 10 日:将其他主机名 edgedl.me.gvt1.com 添加到了针对所有设备的许可名单中。此外,还提供了有关这些主机名的更多详细信息:
accounts.google.com
accounts.google.[国家/地区]
chromeos-ca.gstatic.com
clients3.google.com
connectivitycheck.gstatic.com
dl.google.com
m.google.com
tools.google.comaccounts.google.com
- 2024 年 3 月 12 日:将其他主机名 alkalichromeosflexhwis2-pa.googleapis.com 添加到了针对所有设备的许可名单中
- 2023 年 8 月 17 日:将其他主机名 youtubeeducation.com 添加到了针对所有设备的许可名单中
- 2023 年 1 月 16 日:将其他主机名添加到了反馈应用搜索功能的许可名单中
- 2022 年 7 月 20 日:将其他主机名添加到了安全浏览端点的许可名单中
- 2022 年 2 月 1 日:将其他主机名添加到了针对所有设备的许可名单中
- 2021 年 7 月 26 日:将其他主机名添加到了使用 Chrome 扩展程序和应用(Chrome 应用商店)的设备的许可名单中
- 2021 年 4 月 21 日:将其他主机名添加到了针对所有设备的许可名单中
- 2021 年 2 月 20 日:将其他主机名添加到了针对所有设备的许可名单中
- 2020 年 8 月 11 日:将其他主机名添加到了针对所有设备的许可名单中
- 2020 年 3 月 3 日:将其他主机名添加到了 Google Play 许可名单中
- 2019 年 12 月 16 日:添加了 cloudsearch.googleapis.com,以便从 Chrome 地址栏进行搜索时返回 Google 云端硬盘的搜索结果
- 2019 年 6 月 25 日:将 *gvt1.com 更改为 *.gvt1.com,并添加了 *.1e100.net
- 2018 年 9 月 25 日:添加了 chromeos-ca.gstatic.com
- 2018 年 7 月 20 日:添加了 *gvt1.com
- 2018 年 3 月 15 日:添加了 policies.google.com
- 2017 年 12 月 22 日:添加了 alt*.gstatic.com
- 2017 年 7 月 13 日:添加了 accounts.google.[国家/地区]
- 2017 年 3 月 1 日:将主机名添加到了使用 Android 应用的设备许可名单中
- 2017 年 1 月 19 日:移除了 cache.pack.google.com
- 2016 年 9 月 28 日:添加了 mtalk.google.com
- 2015 年 12 月 2 日:将主机名添加到了单一应用自助服务终端设备许可名单中
- 2015 年 8 月 5 日:添加了 accounts.gstatic.coms
针对所有 ChromeOS 和 Chrome 企业核心版设备的主机名许可名单
要确保设备在执行 TLS 检查或限制外部流量的网络中可以正常运作,您需要将以下代理服务器上的主机名列入许可名单。如需详细了解如何允许使用主机名,请与您的网络管理员联系。
自动更新|
Google 端点
|
说明
|
|---|---|
| tools.google.com | 返回更新配置的 Omaha 网址(包括载荷网址列表)。 |
| edgedl.me.gvt1.com |
用于下载更新载荷的网址。 |
| dl.google.com |
|
Google 端点
|
说明
|
|---|---|
| m.google.com | 用于注册和企业政策提取的设备管理服务器。 |
| clients3.google.com | 用于同步系统时钟。需要此端点才能根据设备管理服务器后端所使用的当前时间生成密钥。 |
| www.googleapis.com | 用于服务器管理的 OAuth 范围。完整路径为 www.googleapis.com/auth/chromeosdevicemanagement,但不支持按路径过滤。 |
|
Google 端点
|
说明
|
|---|---|
| accounts.google.com accounts.google.[国家/地区] |
Google 登录页面。
对于 accounts.google.[国家/地区],请为 [国家/地区] 选择使用本地顶级域名。例如,澳大利亚请使用 accounts.google.com.au,英国请使用 accounts.google.co.uk。 |
| www.google.com | 用于登录的 OAuth2 范围。完整路径为 www.google.com/accounts/OAuthLogin,但不支持按路径过滤。 |
| www.googleapis.com | 用于 Google API 访问的 OAuth2 范围。 |
|
www.gstatic.com |
下载登录页面内容(例如 JavaScript 和 CSS 资产)所需。 |
|
Google 端点
|
说明
|
|---|---|
| chromeos-ca.gstatic.com | Google 证明证书授权机构 (ACA) 服务器。用于验证设备的身份和检索注册证书。 |
| clients3.google.com | 用于同步系统时钟。需要此端点才能验证证书并确定注册状态。 |
| m.google.com | 用于注册和企业政策提取的设备管理服务器。 |
| www.gstatic.com | 用于检查注册状态。 |
ChromeOS 上的强制门户检测器使用两种探测方法:一种是 HTTP 探测,另一种是 HTTPS 探测。主要网址位于此表格的左列中。如果这些网址被屏蔽,门户检测器将回退到此表格右列中的备用网址。只需允许一个 HTTP 网址和一个 HTTPS 网址绕过防火墙即可(无论是主要网址还是备用网址)。唯一的区别是,回退到备用网址的速度较慢。
|
Google 端点
|
说明
|
|---|---|
| http://connectivitycheck.gstatic.com | ChromeOS 默认 HTTP 探测网址。 备用网址:
|
| https://www.google.com | ChromeOS 默认 HTTPS 探测网址。 备用网址:
|
| http://www.gstatic.com | Chrome 浏览器强制门户检查。请注意 HTTP 协议。 |
*.1e100.net1
accounts.gstatic.com
accounts.youtube.com
alkalichromeosflexhwis2-pa.googleapis.com2
alt*.gstatic.com3
aratea-pa.googleapis.com
chromeosquirksserver-pa.googleapis.com
clients1.google.com
clients2.google.com
clients4.google.com
clients2.googleusercontent.com
cloudsearch.googleapis.com
commondatastorage.googleapis.com
cros-omahaproxy.appspot.com
dl-ssl.google.com
enterprise-safebrowsing.googleapis.com
firebaseperusertopics-pa.googleapis.com
*.googleusercontent.com
*.gvt1.com
gweb-gettingstartedguide.appspot.com
mtalk.google.com
omahaproxy.appspot.com
pack.google.com
policies.google.com
printerconfigurations.googleusercontent.com
safebrowsing-cache.google.com
safebrowsing.google.com
safebrowsing.googleapis.com
sb-ssl.google.com
scone-pa.clients6.google.com
ssl.gstatic.com
storage.googleapis.com
www.googleapis.com
1 有关详情,请参阅什么是 1e100.net?
2 仅适用于 ChromeOS Flex 设备。
3 如果您运行的是第 62 版 ChromeOS,并看到“网络不可用”错误消息,那么您可能需要将主机 alt*.gstatic.com 列入许可名单以通过端口 80 绕过防火墙。如果上述操作未能解决问题,请参阅需列入许可名单的完整主机清单。
需列入许可名单的其他主机
如果您符合以下任一情形,还需针对该情形,将所需的其他主机名也列入许可名单,以便正常运行 TLS 检查:
- 在设备(包括单一应用自助服务终端设备)上使用 Chrome 应用商店中的 Chrome 扩展程序或应用。
- 在设备上使用 Google Play 商店中的 Android 应用
针对使用 Chrome 扩展程序和应用(Chrome 应用商店)的 ChromeOS 和 Chrome 企业核心版设备的主机名许可名单
如果您在设备(包括单一应用自助服务终端设备)上使用 Chrome 扩展程序和应用(Chrome 应用商店),那么除了上文所列的主机名之外,您还需要将以下主机名列入许可名单:
chrome.google.com
clients2.googleusercontent.com
lh3.ggpht.com
lh4.ggpht.com
lh5.ggpht.com
lh6.ggpht.com
update.googleapis.com
update.googleapis.com/service/update2/json
针对使用 Android 应用(Google Play 商店)的 ChromeOS 和 Chrome 企业核心版设备的主机名许可名单
如果您在设备上使用 Android 应用(Google Play 商店),那么除了上文中针对所有 ChromeOS 和 Chrome 企业核心版设备的主机名许可名单下方列出的主机名之外,您还需要允许以下主机名。
connectivitycheck.android.com
play.google.com
android.com
google-analytics.com
googleusercontent.com
*gstatic.com
*.ggpht.com
android.clients.google.com
*.gvt2.com
*.gvt3.com
*.googleapis.com
gcm-http.googleapis.com
gcm-xmpp.googleapis.com
android.googleapis.com
fcm.googleapis.com
fcm-xmpp.googleapis.com
pki.google.com
clients5.google.com
clients6.google.com
connectivitycheck.gstatic.com
www.google.com
针对使用 Chrome 教育版升级的 ChromeOS 和 Chrome 企业核心版设备的主机名许可名单
如果您在 Google 课堂中使用 YouTube Player 教育版,那么除了上文中针对所有 ChromeOS 和 Chrome 企业核心版设备的主机名许可名单下方列出的主机名之外,您还需要允许以下主机名。如需了解详情,请参阅在 YouTube 上学习的下一章节。
youtubeeducation.com