Для осуществления проверки трафика HTTPS компонент Forefront TMG выступает в роли посредника между клиентским компьютером, которые инициирует HTTPS-соединение, и безопасным веб-сайтом. Когда клиентский компьютер инициирует подключение к безопасному веб-сайту, Forefront TMG перехватывает запрос и выполняет следующие действия:

1. Устанавливает безопасное подключение (туннель SSL) к запрашиваемому веб-сайту и проверяет сертификат сервера.
   
   
2. Копирует сведения сертификата веб-сайта, создает новый SSL-сертификат, содержащий эти сведения, и подписывает его в центре сертификации, называемом сертификатом проверки HTTPS.
   
   
3. Представляет новый сертификат клиентскому компьютеру и устанавливает с ним отдельный туннель SSL.
   
   

Поскольку сертификат проверки HTTPS ранее находился в хранилище сертификатов доверенных корневых центров сертификации локального компьютера, компьютер доверяет любому сертификату, который подписан этим сертификатом. Сервер Forefront TMG разделяет подключение и создает два безопасных туннеля и может расшифровывать и проверять весь трафик между клиентским компьютером и безопасным веб-сайтом в ходе этого сеанса.

При включении проверки HTTPS примите к сведению следующие замечания:

• При развертывании с несколькими массивами необходимо создать сертификат проверки HTTPS для каждого массива.
  
  
• SSL-сертификаты высокой надежности не поддерживаются при включенной проверке HTTPS. Если веб-сайт использует SSL-сертификаты высокой надежности, в некоторых браузерах, например Internet Explorer 7, адресная строка браузера изменяет цвет на зеленый. Однако, если Forefront TMG выполняет проверку HTTPS, цвет адресной строки не изменяется. Чтобы при использовании веб-сайтом SSL-сертификата высокой надежности изменялся цвет адресной строки, необходимо исключить веб-сайт из проверки HTTPS.
  
  
• Проверка HTTPS несовместима с подключениями к внешним SSTP-серверам и серверам, требующим проверку подлинности сертификата клиента. Если известно о наличии такого сервера, рекомендуется исключить его из проверки HTTPS.
  
  

Примечание.
Для получения дополнительных сведений об исключении сайтов из проверки HTTPS см. раздел Исключение источников и мест назначения из проверки HTTPS.

В следующей таблице приведены сведения о действиях при проверке сертификата, которые выполняет Forefront TMG, если включена проверка HTTPS. Для сайтов, исключенных из проверки HTTPS, можно выбрать исключение с проверкой или без нее. Для получения дополнительных сведений об исключении сайтов из проверки HTTPS см. раздел Исключение источников и мест назначения из проверки HTTPS.

Поскольку пользователь клиентского компьютера не знает о том, что Forefront TMG разделяет подключение и проверяет трафик, в целях соблюдения правовых норм и конфиденциальности и необходимо выполнить следующее.

• Уведомите клиентов о выполнении проверки трафика HTTPS. Функция уведомления доступна для клиентских компьютеров, на которых запущен клиент Forefront TMG. Дополнительные сведения см. в разделе Уведомление пользователей о выполнении проверки HTTPS-трафика
  
  
• Исключите из проверки определенные URL-адреса или категории URL-адресов, например сайты, посвященные финансам или здравоохранению. Дополнительные сведения см. в разделе Исключение источников и мест назначения из проверки HTTPS.
  
  

Основные понятия