Brána firewall [USG/USGFLEX/VPN/ATP] - Problém se stránkou certifikátu nebo HSTS pro řešení hotspotu

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

Ve výchozím nastavení má zařízení USG / ZyWALL / ATP Series nedůvěryhodný certifikát a uživatel hotspotu (host) musí kliknout na tlačítko pokračovat/přeskočit zprávu o certifikátu, aby se možná zobrazily informace o přihlašovací stránce. Tento článek popisuje nejznámější scénář, jak to pokrýt.

Řešení

Je třeba zakoupit certifikát s názvem FQDN, tj. "hotspot.hotelname.de" (obvykle stačí levný certifikát typu Domain verified).

Importovat certifikát včetně soukromého klíče do zařízení firewall pod položkou

dyn_repppp_0

mceclip0.png

  • V části Systém -> WWW změňte certifikát na nahraný.

mceclip1.png

Můžete se rozhodnout, zda chcete ponechat funkci "Přesměrování HTTP na HTTPS" aktivní, nebo ne. Obojí může nakonec fungovat.

V nastavení DNS přidejte záznam A, který bude odpovídat vámi preferovanému: WAN s vaším názvem FQDN
IP WAN použijte pouze v případě, že tato IP není použita v NAT pro HTTP / HTTPS port a pokud se jedná o statickou IP, jinak použijte IP LAN, ale doporučuje se WAN.

mceclip2.png

dyn_repppp_1
  • Ujistěte se, že vaše podsíť LAN (pro uživatele hotspotů) má jako první server DNS pro zachycení FQDN server ZyWALL.

mceclip3.png

Pomocí těchto konfigurací Best Practice můžeme podporovat až 80 % všech klientů / mobilních telefonů, které se mohou vyhnout problému s HTTPS nebo HSTS, ale i toto řešení má určitá omezení.

Omezení a tipy a triky

Omezení v případě, že klient, tj. telefon s Androidem, iPhone, Mac, Windows 10 ... ..., nemůže podporovat funkci detekce hotspotů (starší verze, blokované softwarem...).

  • Pokud webové stránky nepodporují certifikát HSTS, varování se stále zobrazuje, ale může se přeskočit.
  • Pokud Webová stránka podporuje HSTS (google, facebook..), zobrazí se varování o certifikátu a zablokuje se (nelze odtud pokračovat), v takovém případě musí zákazník navštívit zde nakonfigurovanou IP adresu 6.6.6.6, aby se k ní dostal.

mceclip4.png

  • Můžete zkusit vypnout "Přesměrování HTTP na HTTPS" a uvidíte, zda to bude fungovat lépe.

mceclip5.png

  • Seznam "walled garden" pro některé známé stránky HSTS může pomoci některé z nich nejprve vyloučit z Web-Auth (bez ověřování) a nechat zákazníky ověřit se při návštěvě stránky bez HSTS (vyžadována licence Hotspot).

mceclip6.png

Například:

  • *.google.com
  • *.facebook.com
  • * funguje jako zástupný znak

Poznámka: Jakmile bude platit nová norma RFC, budeme situaci sledovat a aktualizovat verze našeho softwaru, abychom poskytli nejlepší řešení, které je na trhu k dispozici, můžete jej sledovat zde: http://www.rfc-editor.org/info/rfc7710.

Zde je článek, který popisuje způsob, jak používat certifikáty Let's Encrypt v zařízení USG.

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 2 z 5
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.