TLS-inspektion (som även kallas SSL-inspektion) är en säkerhetsfunktion via externa webbfilter. Den gör att du kan ställa in webbfilter för att identifiera hot på internet.
Tips! Konfigurera TLS-inspektion tidigt under implementeringen för att säkerställa att användarna kan få tillgång till webbplatser utan problem.
Innan du börjar
Tänk på följande när du ska konfigurera en TLS-inspektion:
- Du behöver ett TLS- eller SSL-certifikat från webbleverantören. Fråga leverantören om certifikatet. DER-kodade certifikat stöds inte. ChromeOS-enheter godkänner enbart PEM-format. Information om populära leverantörer finns i Konfigurera ChromeOS-enheter med Zscaler och i avsnittet om att konfigurera Chromebooks med Barracuda.
- Webbtrafik ska skickas till webbfiltret via en proxyanslutning. Proxyservrar stöds inte, varken transparenta eller in-line. Om du måste använda en proxyserver kan du godkänna *.google.com och tillåta alla begäranden på google.com att gå igenom utan TLS-ingrepp. Detta är dock en konfiguration som inte stöds. Mer information finns i Om transparenta proxies.
- Indikering av servernamn (SNI) stöds för närvarande inte. Det finns dock en öppen begäran om den här funktionen.
- Användare kan inte använda multiinloggning om TLS-inspektion har aktiverats.
Transparenta proxies
Om transparenta proxiesTransparenta proxies eller in-line-proxies bestämmer en begärd webbadress genom att titta på TLS-certifikatet (eller SSL-certifikatet). I de flesta fall matchar domännamnet som är kopplat till TLS-certifikatet (Common Name) den webbadress som begärs. Proxien kontrollerar namnet mot en lista över godkända webbadresser för att avgöra om trafiken bör tillåtas. Många stora organisationer köper dock TLS-jokercertifikat som inte använder en explicit webbadress för namnet. Exempelvis använder Google *.google.com som namn på många av de webbadresser som krävs för att ChromeOS-enheter ska fungera.
Certifikatinformationen ser ut så här:
Om den transparenta proxyn ska fungera måste *.google.com läggas till på listan över godkända webbadresser för att tillåta all trafik till *.google.com. Denna konfiguration stöds inte på grund av säkerhetsfunktionerna i Chrome och vi rekommenderar att du undviker att använda transparenta proxies.