Как отключить или обойти предупреждение сертификата Outlook

Question

Недавно я переключился на беспроводное соединение EVDO для широкополосного доступа. Модем EVDO подключается к одному компьютеру, а другие компьютеры в моей домашней локальной сети (на основе рабочей группы, без домена) подключаются через него с помощью FreeProxy (v.3.92 от Handcraftedsoftware.org)

Я очень доволен его настройкой, за исключением Outlook. Я запускаю Outlook 2003 на своем ноутбуке, и каждый раз, когда Outlook подключается для проверки электронной почты, я должен закрыть несколько диалоговых окон со следующим сообщением:

Предупреждение Internet Security Сервер, к которому вы подключены, использует сертификат безопасности, который невозможно проверить.

CN-имя сертификата не соответствует переданному значению.

Вы хотите продолжить использовать этот сервер?

В Outlook я указываю IP-адрес компьютера, на котором работает FreeProxy, в качестве адреса сервера для каждой из моих учетных записей электронной почты, затем в FreeProxy я настраиваю номер входящего порта в соответствии с тем, что я ввел в Outlook, и номер исходящего порта для соответствовать тому, что требуется для моей почтовой службы.

Я думаю, что понимаю, что здесь происходит. Поскольку некоторые из этих сервисов требуют безопасного соединения, Outlook предупреждает меня, что соединение с FreeProxy не может быть проверено как заслуживающее доверия, так как FreeProxy не имеет сертификата безопасности. Но так как это соединение является только первым переходом и полностью в моей локальной сети, меня это не волнует. Что меня беспокоит, так это отсутствие необходимости нажимать несколько диалогов, чтобы отклонять предупреждения при подключении Outlook.

Я нашел в сети ссылки на самозаверяющие сертификаты, которые можно использовать с Outlook, чтобы избежать этого предупреждения, но все они, похоже, применимы либо к Exchange Server, либо к Outook Web Access на IIS. Могу ли я использовать один из них в этом случае, и если да, то как его получить, а затем как заставить клиент Outlook его распознать? Если нет, есть ли другие параметры безопасности, которые я могу изменить, чтобы эти диалоги перестали меня приставать.

Я разместил это здесь, а не ServerFault, потому что, поскольку я не являюсь администратором сервера, я не знал, пойму ли я любой ответ, который я мог бы получить там. :-) Спасибо!

Answer 1

Вместо того, чтобы использовать HTTP-прокси, я предлагаю вам настроить преобразование сетевых адресов для перемещения IP-пакетов на уровне IP. Это будет проходить через SSL-соединение без дешифрования на компьютере-шлюзе и устранять предупреждение безопасности. В основном Outlook говорит вам, что ваш компьютер-шлюз пытается выполнить человека в средней атаке, что в принципе и есть.

Работают SSL (зашифрованные) соединения, это прекрасно, если кто-то сидит между вами и сервером, с которым вы общаетесь, и просто просматривает зашифрованный трафик. Протокол разработан для учета ситуаций, когда другие компьютеры (доверенные или нет) могут видеть ваш зашифрованный трафик. Но если другие компьютеры могут видеть ваш зашифрованный трафик, например, через HTTP-прокси, протокол немедленно узнает об этом и помечает соединение как незащищенное.

Вы можете настроить трансляцию сетевых адресов на компьютере шлюза (который подключен к модему EvDO) с помощью, например, Windows Internet Connection Sharing. Это позволяет другим подключенным компьютерам иметь частный IP-адрес в частной подсети, который в конечном итоге направляется на модем EvDO. В основном он рассматривает ваш компьютер-шлюз как маршрутизатор. (Обратите внимание, что термин "шлюз" относится к блоку, который выполняет функции, подобные маршрутизатору и / или брандмауэру, для передачи трафика в другую сеть и из нее; в данном случае это общедоступный Интернет).

Руководства по настройке Windows ICS чрезвычайно распространены не только в SU, но также в базе знаний Microsoft и справке Windows. Пожалуйста, изучите некоторые из существующих ресурсов по этим направлениям, прежде чем обращаться за помощью о том, как настроить ICS.

Ваше исследование относительно сертификатов является правильным. Технически существует способ заставить молчаливого человека участвовать в средней атаке, доверяя корневому центру сертификации, для которого у вашего freeproxy-сервера есть ключ подписи. Я не знаю, может ли реальная программа freeproxy зашифровать трафик на доменной основе, но такие программы, как Burp, определенно могут, и существуют существующие руководства, объясняющие, как ее настроить (на сайте Burp по адресу portswigger.net).

Тем не менее, ICS - это решение, которое является гораздо более гибким и не связано с такими проблемами при настройке, поэтому я настоятельно рекомендую его.