Citrix SD-WAN WANOP

Office365アクセラレーション

  1. なぜSANを解析するのですか?

    ドメインごとにFQDNの複数のプロファイルを作成するのは面倒です。これを克服するために、証明書からSANを解析します。

  2. 除外リストとは何ですか?

    エラーまたは警告メッセージが表示されます。ブラウザーまたはアプリに CA 証明書が含まれていない場合、ブラウザー/アプリからの接続が数回試行されると (2 ~ 3 回)、クライアントの IP アドレスが除外リストに追加されます。次の試行では、接続はSSLプロキシされておらず、エラーや警告なしにページが読み込まれます。クライアントIPアドレスは48時間除外リストに残ります。除外リストは、分割プロキシに対してのみ維持されます。

  3. Office 365アクセラレーション接続情報はどこで確認できますか?

    [監視 ] > [ 接続 ] > [ 高速接続] の順に選択し、SSL プロキシの状態を確認します。接続の詳細については、詳細アイコンをクリックしてください。

    ローカライズされた画像

  4. SSLプロファイル構成の一部としてリストの除外オプションがデフォルトで有効になっていない場合はどうなりますか?

    ブラウザまたはアプリにCA証明書が含まれていない場合、エラーまたは警告が表示され、そのクライアントまたはアプリからの接続がブロックされます。このような問題を回避するには、SSLプロファイル構成の一部として [リスト を除外]オプションを選択します。

  5. 必要なSANがconfigured/created プロキシ証明書の一部でない場合はどうなりますか ?

    接続はSSLプロキシされません。また、プロキシされていないSSL接続のアクセラレーションの利点はありません。

  6. クライアントがドメインの一部ではない場合、またはクライアントがドメインのルート証明書を持っていない場合はどうなりますか?

    除外リストが有効になっていない場合、接続はブロックされます。

  7. データセンター側のCitrix SD-WAN WANOPにルートまたは中間CAがない場合はどうなりますか?

    接続がブロックされているか、不足しているルートCAまたは中間CAを必要とするOffice365アプリケーションページが部分的に読み込まれています。接続のブロックを解除するか、これらのページを完全にロードするには、適切なCA証明書を追加するか、SSLプロファイルのアクセラレーションを無効にします。

  8. どのクライアントがアクセラレーションから除外されているかを知る方法は?

    除外されたクライアント情報は、ログから、またはCLIコマンド show ssl-exclude-listを使用して知ることができます。

  9. クライアントが除外された場合はどうすればよいですか?

    デフォルトでは、アプライアンスから除外リスト情報は48時間後にクリアされます。ユーザーは、CLIコマンドを使用して、 除外リストの情報を強制的にクリアできます。SSL-exclude-list-/<all> <Client_IP>。

  10. どのSSL接続(SNI)がプロキシされていないかを知る方法は?

    ログから、または CLI コマンドのshow ssl-non-proxied-sniを使用すると、プロキシされていない SNI のリストを知ることができます。

  11. プロキシされていないSNIをクリアする方法は?

    CLIコマンドを使用して、SSL-非プロキシ-sni-<all>/<server name identifier> をクリアします。

  12. 除外状態のクライアントのデフォルトの時間はどれくらいですか?

    クライアントは48時間除外状態のままです。

  13. 特定のサービスクラスに複数のプロファイルを適用できますか?

    はい、複数のSSLプロファイルを持つサービスクラスを適用できます。

    これを行うには、仮想WANアプライアンスで[ 構成]>サービスクラス>Web(インターネット-セキュア)>編集> (アプリケーション)を編集し 、利用可能なプロファイルを追加します。

  14. プロキシされていない接続の理由をどのように確認しますか?

    TCP接続ページを確認してください。詳細については、ログを確認してください。プロキシされていない接続の問題をデバッグするには、次の手順を実行します。

    1. ログに有効な設定が表示されない場合- 有効な構成を設定します。Office 365機能の構成の詳細については、 Office365アクセラレーションを参照してください。

    2. 証明書の検証に失敗したことがログに表示された場合-データセンター側のCitrix SD-WAN WANOPアプライアンスに、有効なCA証明書を追加します。

    3. <Client\ _IP\ >ログにクライアントの除外が示されている場合-CLIコマンド*clear ssl-exclude-list-\/<all\ >\ * を使用して、除外されたクライアントに関する情報をアプライアンスから消去できます。

その他の注意事項

  • OneDriveクライアントにログインすると、警告メッセージ「偽の警告」が表示されることがあります。これは、Microsoft (https://support.microsoft.com/en-us/kb/3097938 ) の既知の問題であり、Citrix SD-WAN WANOP アプライアンスに固有ではありません。

  • プロキシされるOffice365リダイレクトページの場合、リダイレクトされたページの証明書に対応するSANリストを含む別のプロキシ証明書を作成することをお勧めします。このプロキシ証明書を使用して別のプロファイルを作成し、サービスクラスに適用します。また、Citrix SD-WAN WANOP アプライアンスに関連する CA を追加します。

  • ブラウザに正しいCA証明書が表示されない場合があります。そのような場合は、WiresharkまたはOpenSSLを使用してルートおよび中間CA名を取得し、「本物の」ソース(たとえば、Windows SSLストア)から証明書を取得します。

  • 必要な証明書がなく、除外リストオプションが無効になっている別のブラウザーから Office 365 アプリケーションにアクセスすると、ブラウザーの動作の違いが見られます。

  • Office 365接続がSSLプロキシされ(つまり、SSLプロキシがTrueに設定されている)、ブラウザーでプロキシ証明書の代わりにOffice 365証明書が表示される場合は、ブラウザーを非認識モードで開き、動作を確認するか、キャッシュをクリアすることをお勧めします。その後、動作を再度確認します。

  • Microsoft Office 365には、OneDrive、Outlook、SharePoint、Word、PPT、Excel、OneNoteなどの多くのコンポーネントとアプリケーションが含まれています。これらのアプリケーションはすべてテスト済みであり、問題なく動作することがわかっています。他のアプリケーションも問題なく動作することが期待されます。ただし、このステータスは時間の経過とともに変化する可能性があり、不明な問題が発生する可能性があります。

Office365アクセラレーション