解密来自 Google 驱动器客户端软件的通信中断连接

问题

当使用在帕洛阿尔托网络防火墙上启用解密功能的 Google 驱动器客户端软件时, 连接中断和 Google 驱动器软件不会将文件同步到云中。

原因

帕洛阿尔托网络防火墙没有通过应用程序数据库将 google 驱动客户端软件识别为 "google 驱动器"。而是将此通信标识为 "SSL"。如果在帕洛阿尔托网络防火墙上启用了解密以进行 SSL 通信, 则 Google 驱动器客户端应用程序生成的通信失败解密。这是因为启用 SSL 解密后, 帕洛阿尔托网络设备将接收外部站点的证书, 并将自己的自签名证书发送到最终客户端。当客户端使用此证书加密通信时, 帕洛阿尔托网络设备可以使用网站的真实证书对通信进行解密、检查和加密。

当 google 驱动器客户端软件 (安装在桌面上) 尝试连接到 google 服务器时, 它希望从 google 服务器接收到有效的证书。启用 SSL 解密后, Google 驱动器客户端将从帕洛阿尔托网络设备接收不受信任的证书, 连接最终将失败。

解决办法

解决此问题有两种方法:

• 使用 Google 驱动器网站的自定义 url 类别配置无解密策略。现在, 防火墙被配置为任何进入 Google 驱动器站点的通信都绕过解密。
• 使用启用的 unsafe_network 标志运行 Google 驱动器客户端软件, 以便它接受不受信任的证书。
  1. 打开桌面上的 google 驱动器菜单, 选择退出 google 驱动器。
  2. 通过运行 cmd.exe 启动命令行。
  3. 在命令行上, 导航到 Google 驱动器文件夹。
  4. 在32位系统上, 文件夹位于<C:\Program files\google\drive="">.</C:\Program>
  5. 在64位系统上, 该文件夹位于 C:\Program 文件 (x86) \ Google \ 驱动器上。
  6. C:\Program 文件 (x86) \ 谷歌 \ 驱动器 > googledrivesync-unsafe_network
     

谷歌驱动软件客户端在几分钟后进行同步。

注意:对于此选项, 每次打开 Google 驱动器客户端时, 都必须在命令提示符下从该模式启动. 如果网络中有很多用户, 那么运行 Google 驱动客户端在这个模式下为每个人都可以成为一个复杂的任务。因此, 请考虑在系统上运行脚本。

注意: 在尝试验证证书时, 此问题存在于其他基于客户端的应用程序, 如 Twitter 或收存箱.

请参见

控制 SSL 解密

所有者: ssunku