Firewall [USG/USGFLEX/VPN/ATP] - Zertifikatsseite oder HSTS-Problem für Hotspot-Lösung

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Es kann sein, dass nicht alle Texte korrekt übersetzt werden. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Standardmäßig verfügt die USG / ZyWALL / ATP-Serie über ein nicht vertrauenswürdiges Zertifikat, und der Hotspot-Benutzer (Gast) muss auf die Zertifikatsmeldung klicken, um fortzufahren/überspringen zu können, damit er die Anmeldeseiteninformationen sehen kann. In diesem Artikel wird das bekannteste Szenario beschrieben, wie Sie dies abdecken können.

Lösung

Sie müssen ein Zertifikat mit einem FQDN-Namen erwerben, z. B. "hotspot.hotelname.de" (normalerweise reicht ein billiges Zertifikat vom Typ "Domain verified" aus).

Importieren Sie das Zertifikat einschließlich des privaten Schlüssels in das Firewall-Gerät unter

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Ändern Sie unter System -> WWW das Zertifikat, um es hochzuladen

mceclip1.png

Sie können entscheiden, ob Sie "Redirect HTTP to HTTPS" aktiv lassen wollen oder nicht. Am Ende kann beides funktionieren.

Fügen Sie in den DNS-Einstellungen einen A-Record hinzu, der Ihren Wünschen entspricht: WAN-IP zu Ihrem FQDN-Namen
Verwenden Sie die WAN-IP nur, wenn diese IP nicht im NAT für den HTTP/HTTPS-Port verwendet wird und wenn es sich um eine statische IP handelt, andernfalls verwenden Sie die LAN-IP, aber WAN wird empfohlen.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Stellen Sie sicher, dass Ihr LAN-Subnetz (für Hotspot-Benutzer) ZyWALL als ersten DNS-Server hat, um den FQDN abzufangen.

mceclip3.png

Mit diesen Best-Practice-Konfigurationen können wir bis zu 80 % aller Clients/Mobiltelefone unterstützen, die das HTTPS- oder HSTS-Problem vermeiden können, aber auch diese Lösung hat einige Einschränkungen.

Beschränkungen und Tipps&Tricks

Einschränkungen, wenn der Client, d.h. Android Phone, iPhone, Mac, Windows 10 ... nicht! die Hotspot-Erkennungsfunktion unterstützen kann (ältere Versionen, durch Software blockiert...)

  • Wenn die Website kein HSTS-Zertifikat unterstützt, erscheint die Warnung trotzdem, kann aber übersprungen werden.
  • Wenn die Website HSTS unterstützt (Google, Facebook ..) zeigt es Zertifikat Warnung und blockiert es (keine Möglichkeit, von hier aus fortzufahren), in diesem Fall muss ein Kunde besuchen 6.6.6.6 IP hier konfiguriert, um es zugreifen.

mceclip4.png

  • Sie können versuchen, "HTTP zu HTTPS umleiten" zu deaktivieren und sehen, ob das besser funktioniert.

mceclip5.png

  • Eine "Walled Garden"-Liste für einige bekannte HSTS-Seiten kann helfen, einige zunächst von Web-Auth auszuschließen (keine Authentifizierung) und Kunden beim Besuch einer Seite ohne HSTS authentifizieren zu lassen (Hotspot-Lizenz erforderlich)

mceclip6.png

Zum Beispiel:

  • *.google.com
  • *.facebook.com
  • Das * wirkt wie ein Platzhalter

Hinweis: Sobald es einen neuen RFC-Standard gibt, werden wir die Situation überwachen und unsere Softwareversionen aktualisieren, um die beste Lösung zu liefern, die auf dem Markt verfügbar ist. Sie können dies hier verfolgen: http://www.rfc-editor.org/info/rfc7710

Hier ist ein Artikel, der beschreibt, wie man Let's Encrypt-Zertifikate auf einem USG verwenden kann

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
2 von 5 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.