Cortafuegos [USG/USGFLEX/VPN/ATP] - Página de certificados o problema HSTS para la solución Hotspot

Creación - Actualización
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si tiene dudas o discrepancias sobre la exactitud de la información en la versión traducida, consulte el artículo original aquí:Versión original

De forma predeterminada, la serie USG / ZyWALL / ATP tiene un certificado que no es de confianza, y el usuario del punto de acceso (invitado) tiene que hacer clic para continuar/saltar el mensaje del certificado para poder ver la información de la página de inicio de sesión. Este artículo describe el escenario más conocido de cómo cubrir eso.

Solución

Debe adquirir un certificado con un nombre FQDN, es decir, "hotspot.hotelname.de" (suele bastar con un certificado barato del tipo Domain verified).

Importe el certificado incluyendo la clave privada dentro del dispositivo firewall bajo

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Cambie en Sistema -> WWW el certificado para cargar uno

mceclip1.png

Usted puede decidir si desea mantener "Redirigir HTTP a HTTPS" activo o no. Ambos pueden funcionar al final.

Añadir un A-Record en la configuración de DNS para que coincida con su preferido: IP WAN a su Nombre FQDN
Sólo utilice IP WAN, si esta IP no se utiliza en NAT para HTTP / HTTPS Port y si se trata de una IP estática, de lo contrario utilizar IP LAN, pero se recomienda WAN.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Asegúrese de que su subred LAN (para usuarios de Hotspot) tiene ZyWALL como primer servidor DNS para capturar el FQDN.

mceclip3.png

Con estas configuraciones de Mejores Prácticas, podemos soportar hasta el 80% de todos los clientes / teléfonos móviles que pueden evitar el problema de HTTPS o HSTS, pero también esta solución tiene algunas limitaciones.

Limitaciones y Tips&Tricks

Limitaciones si el cliente i.e. Android Phone, iPhone, Mac, Windows 10 .. .. no puede! soportar Hotspot Detection Feature (versiones antiguas, bloqueado por software...)

  • Si el sitio web no es compatible con HSTS certificado de advertencia todavía pop-up, pero puede saltar
  • Si el sitio web de apoyo HSTS (google, facebook ..) que muestra la advertencia de certificado y lo bloquea (no hay manera de continuar desde aquí), en ese caso, un cliente debe visitar 6.6.6.6 IP configurado aquí para acceder a ella.

mceclip4.png

  • Puedes probar a desactivar "Redirigir HTTP a HTTPS" y ver si funciona mejor

mceclip5.png

  • Una lista Walled Garden para algunas páginas HSTS conocidas puede ayudar a excluir algunas de Web-Auth primero (sin autenticación) y dejar que los clientes se autentiquen cuando visiten una página sin HSTS (se requiere licencia Hotspot).

mceclip6.png

Por ejemplo

  • *.google.com
  • *.facebook.com
  • El * actúa como comodín

Nota: Tan pronto como haya una nueva norma RFC en vigor, supervisaremos la situación y actualizaremos nuestras versiones de software, para ofrecer la mejor solución, que esté disponible en el mercado, puede supervisarla desde aquí: http://www.rfc-editor.org/info/rfc7710

Aquí hay un artículo que describe una manera de cómo utilizar los certificados Let's Encrypt en un USG

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 2 de 5
Compartir

Comentarios

0 comentarios

Inicie sesión para dejar un comentario.