传输层安全性 (TLS) 检查(也称为 SSL 检查)是由第三方网络过滤器提供的安全功能。借助此功能,您可以设置网络过滤器,以检测在线威胁。
提示:请在部署期间尽早设置 TLS 检查,以确保用户可以顺利访问网站。
前期准备
要设置 TLS 检查,请注意:
- 您需要网络过滤器提供商提供的 TLS 或 SSL 证书。请联系提供商获取证书。系统不支持 DER 编码证书。ChromeOS 设备仅接受 PEM 格式。如需常见提供商的相关信息,请参阅使用 Zscaler 配置 ChromeOS 设备和如何使用 Barracuda 配置 Chromebook。
- 网络流量应通过代理连接发送到您的网络过滤器。系统不支持透明或内嵌的代理。如果您需要使用这类代理,可以将 *.google.com 列入许可名单,以允许所有 google.com 请求在无需 TLS 检查的情况下发送。但是,此配置不受支持。要了解更多信息,请参阅关于透明代理。
- 服务器名称指示 (SNI) 目前不受支持,但有此功能的待处理请求。
- 如果启用了 TLS 检查,用户就无法使用多账号登录访问权限。
透明代理
关于透明代理透明或内嵌代理通过查看 TLS 证书(或 SSL 证书)来确定请求网址。在大多数情况下,与 TLS 证书关联的域名(公用名)与请求的网址匹配。代理会根据网址许可名单检查公用名,然后确定是否允许流量通过。但是,许多大型单位会为公用名购买不使用显式网址的通配符 TLS 证书。例如,Google 使用 *.google.com 作为 ChromeOS 设备运行所需的许多网址的常见名称。
证书信息的外观如下:
要使透明代理起作用,您需要将 *.google.com 添加到网址许可名单中,以允许指向 *.google.com 的所有流量通过。由于现有 Chrome 安全功能的限制,此配置不受支持,我们建议您不要使用透明代理。