Citrix SD-WAN WANOP

Office 365 加速

  1. 为什么我们解析 SAN?

    为每个域创建多个 FQDNS 配置文件是乏味的,为了克服这一点,我们从证书中解析 SAN。

  2. 什么是排除列表?

    显示错误或警告消息如果浏览器或应用程序不包含 CA 证书,则在这种情况下,在尝试从浏览器或应用程序连接几次(2-3 次)后,客户端的 IP 地址将被添加到排除列表中。在下一次尝试中,连接不是 SSL 代理,并且页面加载时没有任何错误或警告。客户端 IP 地址将保留在排除列表中 48 小时。排除列表仅为拆分代理维护。

  3. 在哪里查看 Office 365 加速连接信息?

    导航到 监视 > 连接 > 加速连接,检查 SSL 代理状态。有关连接详细信息,请单击详细信息图标。

    本地化后的图片

  4. 如果默认情况下没有启用排除列表选项作为 SSL 配置文件配置的一部分,会发生什么情况?

    如果浏览器或应用程序不包含 CA 证书,则会显示错误或警告,并且来自该客户端或应用程序的连接将被阻止。要避免此类问题,请选择 排除列表 选项作为 SSL 配置文件配置的一部分。

  5. 如果所需的 SAN 不是配置/创建的代理证书的一部分,会发生什么情况?

    连接不会被 SSL 代理,对于非代理 SSL 连接,也不会有加速优势。

  6. 如果客户端不是域的一部分,或者如果客户端没有域的根证书,会发生什么?

    如果未启用排除列表,连接将被阻止。

  7. 如果数据中心侧 Citrix SD-WAN WANOP 没有根或中间 CA 的,会发生什么?

    连接被阻止,或部分加载需要缺少根或中间 CA 的 Office 365 应用程序页。要取消阻止连接或使这些页面完全加载,请添加适当的 CA 证书或禁用 SSL 配置文件加速。

  8. 如何知道哪些客户端被排除在加速之外?

    排除的客户端信息可以通过日志或使用 CLI 命令 显示 ssl-排除-list来知道。

  9. 当客户被排除时该怎么办?

    默认情况下,将在 48 小时后清除设备中的列表信息。用户可以使用 CLI 命令强制清除排除列表信息*clear ssl-exclude-list -\<all\>/\<Client\_IP\>*

  10. 如何知道哪些 SSL 连接(SNI)不代理?

    从日志或使用 CLI 命令 显示 ssl-非代理 SNI,您可以知道非代理 SNI 的列表。

  11. 如何清除非代理 SNI?

    使用 CLI 命令*clear ssl-non-proxied-sni -\<all\>/\<server name identifier\>*

  12. 客户端处于排除状态的默认时间是多少?

    客户端保持在排除状态 48 小时。

  13. 我们可以为特定服务类应用多个配置文件吗?

    是的,我们可以应用具有多个 SSL 配置文件的服务类。

    为此,请在虚拟 WAN 设备上导航到 配置 > 服务类 > Web(Internet 安全) > 编辑 > 编** (应用程序)并添加可用的配置文件。

  14. 如何检查非代理连接的原因?

    检查 TCP 连接页面,有关更多信息,请检查日志。要调试非代理连接问题,请执行以下操作。

    1. 如果日志没有显示有效配置-请设置有效的配置。有关配置 Office 365 功能的更多信息,请参阅Office 365 加速

    2. 如果日志显示证书验证失败-向数据中心端 Citrix SD-WAN WANOP 设备添加有效的 CA 证书。

    3. 如果日志显示客户端已排除 - 有关被排除的客户端的信息可以使用 CLI 命令 *clear ssl-exclude-list -\<all\>/\<Client\_IP\>* 从设备中清除。

附加说明

  • 登录到 OneDrive 客户端有时会显示警告消息“虚假警告”, 这是来自 Microsoft (https://support.microsoft.com/en-us/kb/3097938) 的一个已知问题,非 Citrix SD-WAN WANOP 设备特有。

  • 对于要代理的 Office 365 重定向页面,建议创建一个单独的代理证书,其中包含与重定向页面的证书相对应的 SAN 列表。使用此代理证书创建另一个配置文件并应用于服务类。还可以在 Citrix SD-WAN WANOP 设备中添加相关 CA。

  • 有时浏览器不显示正确的 CA 证书,在这种情况下,使用 Wireshark 或 OpenSSL 获取根和中间 CA 名称,并从 “真实” 源(例如 Windows SSL 存储)获取证书。

  • 从不同的浏览器访问 Office 365 应用程序时,没有必需的证书,并且禁用了排除列表选项,可以观察到浏览器行为的差异。

  • 当 Office 365 连接是 SSL 代理(也就是说 SSL 代理设置为 True)并且在浏览器办公室中显示 365 证书而不是代理证书时,建议以认知模式打开浏览器并检查行为或清除缓存,然后再次检查行为。

  • Microsoft Office 365 包括许多组件和应用程序,如 OneDrive、Outlook、SharePoint、Word、PPT、Excel、OneNote。所有这些应用程序都经过测试,并已知工作没有任何问题。其他应用程序也可以在没有任何问题的情况下工作;但是,此状态可能会随着时间的推移而改变,并且您可能会遇到未知问题。

Office 365 加速