Защитна стена [USG/USGFLEX/VPN/ATP] - Проблем със страницата със сертификата или HSTS за решение за гореща точка

Създаден - Обновено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

По подразбиране серията USG / ZyWALL / ATP има ненадежден сертификат и потребителят на хотспот (гост) трябва да кликне, за да продължи/прескочи съобщението за сертификата, за да може да види информацията на страницата за влизане. Тази статия описва най-известния сценарий за това как да се покрие това.

Решение

Трябва да закупите сертификат с име FQDN, т.е. "hotspot.hotelname.de" (обикновено е достатъчен евтин сертификат от типа Domain verified).

Импортирайте сертификата, включително частния ключ, в устройството за защитна стена под

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Променете сертификата в System -> WWW, за да го качите.

mceclip1.png

Можете да решите дали искате да запазите активна функцията "Пренасочване на HTTP към HTTPS" или не. И двете могат да работят в крайна сметка.

Добавете A-запис в настройките на DNS, за да съответства на предпочитания от вас: WAN IP към вашето FQDN име
Използвайте WAN IP, само ако този IP не се използва в NAT за HTTP/HTTPS порта и ако е статичен IP, в противен случай използвайте LAN IP, но WAN е препоръчителен.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Уверете се, че подмрежата на LAN (за потребителите на Hotspot) има ZyWALL като първи DNS сървър за улавяне на FQDN

mceclip3.png

С тези конфигурации на най-добрите практики можем да поддържаме до 80 % от всички клиенти/мобилни телефони, които могат да избегнат проблема с HTTPS или HSTS, но и това решение има някои ограничения.

Ограничения и съвети и трикове

Ограничения, ако клиентът, т.е. телефон с Android, iPhone, Mac, Windows 10 ... ..., не може да поддържа функцията за откриване на горещи точки (по-стари версии, блокирани от софтуер...)

  • Ако уебсайтът не поддържа HSTS сертификат, предупреждението все още се появява, но може да се пропусне
  • Ако Уебсайтът поддържа HSTS (Google, Facebook..), той показва предупреждение за сертификат и го блокира (няма как да продължите оттук), в този случай клиентът трябва да посети конфигуриран тук IP адрес 6.6.6.6, за да получи достъп до него.

mceclip4.png

  • Можете да опитате да деактивирате "Пренасочване на HTTP към HTTPS" и да видите дали това работи по-добре

mceclip5.png

  • Списъкът с оградени градини за някои известни HSTS страници може да помогне за изключването на някои от тях от Web-Auth първо (без удостоверяване) и да позволи на клиентите да се удостоверяват, когато посещават страница без HSTS (изисква се лиценз за Hotspot)

mceclip6.png

Например:

  • *.google.com
  • *.facebook.com
  • Знакът * действа като заместител

Забележка: Веднага щом бъде въведен нов стандарт RFC, ние ще следим ситуацията и ще актуализираме версиите на нашия софтуер, за да предоставим най-доброто решение, което е налично на пазара, можете да го следите от тук: http://www.rfc-editor.org/info/rfc7710

Ето една статия, в която се описва начинът за използване на сертификати Let's Encrypt в USG

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
2 от 5 считат материала за полезен
Споделяне

Коментари

0 коментара

Влезте в услугата, за да оставите коментар.