Firewall [USG/USGFLEX/VPN/ATP] - Problem med certifikatside eller HSTS for hotspot-løsning

Oprettet - Opdateret
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær venligst opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat nøjagtigt. Hvis der er spørgsmål eller uoverensstemmelser om nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Originalversion

Som standard har USG / ZyWALL / ATP-serien et certifikat, der ikke er tillid til, og hotspotbrugeren (gæsten) skal klikke for at fortsætte / springe certifikatmeddelelsen over for måske at se login-sidens oplysninger. Denne artikel beskriver det bedst kendte scenarie for, hvordan det kan løses.

Løsning

Du skal købe et certifikat med et FQDN-navn, f.eks. "hotspot.hotelname.de" (normalt er et billigt domæneverificeret certifikat nok).

Importer certifikatet inklusive den private nøgle i firewall-enheden under

dyn_repppp_0

mceclip0.png

  • Skift under System -> WWW certifikatet til at uploade et

mceclip1.png

Du kan beslutte, om du vil holde "Redirect HTTP to HTTPS" aktiv eller ej. Begge dele kan fungere i sidste ende.

Tilføj en A-Record i DNS-indstillingen, så den matcher din foretrukne: WAN IP til dit FQDN-navn
Brug kun WAN IP, hvis denne IP ikke bruges i NAT til HTTP / HTTPS Port, og hvis det er en statisk IP, ellers brug LAN IP, men WAN anbefales.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Sørg for, at dit LAN-undernet (til hotspot-brugere) har ZyWALL som første DNS-server til at fange FQDN.

mceclip3.png

Med disse Best Practice-konfigurationer kan vi understøtte op til 80% af alle klienter/mobiltelefoner, der kan undgå HTTPS-problemet eller HSTS-problemet, men denne løsning har også nogle begrænsninger.

Begrænsninger og Tips&Tricks

Begrænsninger, hvis klienten, dvs. Android Phone, iPhone, Mac, Windows 10 ... ikke kan understøtte Hotspot Detection Feature (ældre versioner, blokeret af software ...)

  • Hvis hjemmesiden ikke understøtter HSTS-certifikat, dukker advarslen stadig op, men kan springes over.
  • Hvis hjemmesiden understøtter HSTS (google, facebook..), viser den en certifikatadvarsel og blokerer den (ingen mulighed for at fortsætte herfra), i så fald skal en kunde besøge 6.6.6.6 IP, der er konfigureret her, for at få adgang til den.

mceclip4.png

  • Du kan prøve at deaktivere "Redirect HTTP to HTTPS" og se, om det virker bedre.

mceclip5.png

  • En walled garden-liste for nogle kendte HSTS-sider kan hjælpe med at udelukke nogle fra Web-Auth først (ingen autentificering) og lade kunderne autentificere, når de besøger en side uden HSTS (Hotspot-licens påkrævet).

mceclip6.png

For eksempel:

  • *.google.com
  • *.facebook.com
  • * fungerer som et wildcard

Bemærk: Så snart der er en ny RFC-standard på plads, vil vi overvåge situationen og opdatere vores softwareversioner for at levere den bedste løsning, som er tilgængelig på markedet, du kan overvåge det her: http://www.rfc-editor.org/info/rfc7710

Her er en artikel, der beskriver, hvordan man bruger Let's Encrypt-certifikater på en USG

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
2 ud af 5 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.