代理程式可能會啟動與 Server & Workload Security保護 的通訊,或者如果電腦物件設置為雙向模式,則可能由 Server & Workload Security保護 聯繫代理程式。Server & Workload Security保護 以相似的方式處理所有與代理程式的連接。如果代理程式尚未啟動,則僅能進行有限的互動。如果代理程式已啟動(無論是由管理員啟動還是通過代理程式啟動功能啟動),則可以進行完整的互動。Server & Workload Security保護 在所有情況下都充當 HTTP 客戶端,無論在建立 TCP 連接時是否為客戶端。代理程式無法自行請求資料或啟動操作。Server & Workload Security保護 請求事件和狀態等資訊,調用操作或將配置推送到代理程式。此安全域受到嚴格控制,以確保代理程式無法訪問 Server & Workload Security保護 或其運行的電腦。
代理和Server & Workload Security保護使用兩種不同的安全上下文來建立HTTP請求的安全通道:
步驟
- 在啟動之前,代理會接受引導憑證以形成 SSL 或 TLS 通道。
- 驗證後,需要進行雙向驗證以啟動連接。對於雙向驗證,Server & Workload Security保護 憑證會發送給代理,代理的憑證會發送給 Server & Workload Security保護。代理會驗證這些憑證是否來自相同的憑證機構(即 Server & Workload Security保護)後,才會授予特權訪問。
接下來需執行的動作
一旦建立安全通道,代理將作為 HTTP 通訊的伺服器。它對 Server & Workload Security保護 的訪問有限,只能回應請求。安全通道提供驗證、通過加密保密性和完整性。使用雙向驗證可防止中間人 (MiTM) 攻擊,即 SSL 通訊通道被惡意第三方代理。在流內,內部內容使用
GZIP,配置進一步使用 PKCS #7 進行加密。