Palomuuri [USG/USGFLEX/VPN/ATP] - Varmenne- tai HSTS-ongelma Hotspot-ratkaisussa

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Oletusarvoisesti USG / ZyWALL / ATP-sarjassa on epäluotettava varmenne, ja Hotspot-käyttäjän (vieras) on napsautettava varmenneilmoitusta jatkaaksesi / ohittaaksesi varmenneilmoituksen nähdäksesi ehkä kirjautumissivun tiedot. Tässä artikkelissa kuvataan tunnetuin skenaario siitä, miten tämä voidaan kattaa.

Ratkaisu

Sinun on ostettava varmenne, jossa on FQDN-nimi eli "hotspot.hotelname.de" (yleensä halpa Domain verified -tyyppinen varmenne riittää).

Tuo varmenne ja yksityinen avain palomuurilaitteeseen osoitteessa

dyn_repppppppp_0

mceclip0.png

  • Vaihda kohdassa System -> WWW varmenne ladattavaksi.

mceclip1.png

Voit päättää, haluatko pitää "Redirect HTTP to HTTPS" -toiminnon aktiivisena vai et. Molemmat voivat lopulta toimia.

Lisää DNS-asetuksiin A-tunniste, joka vastaa haluamaasi: WAN-IP:n ja FQDN-nimen välillä
Käytä WAN-IP:tä vain, jos tätä IP:tä ei käytetä NAT:ssa HTTP/HTTPS-porttia varten ja jos se on staattinen IP, muuten käytä LAN-IP:tä, mutta WAN on suositeltava.

mceclip2.png

dyn_repppppppp_1
  • Varmista, että LAN-aliverkossasi (Hotspot-käyttäjille) on ZyWALL ensimmäisenä DNS-palvelimena FQDN:n saamiseksi.

mceclip3.png

Näillä parhaiden käytäntöjen määrityksillä voimme tukea jopa 80 % kaikista asiakkaista / matkapuhelimista, jotka voivat välttää HTTPS-ongelman tai HSTS-ongelman, mutta myös tällä ratkaisulla on joitakin rajoituksia.

Rajoitukset ja vinkit ja niksit

Rajoitukset, jos asiakas eli Android-puhelin, iPhone, Mac, Windows 10 .. .. .. ei voi tukea Hotspot Detection -ominaisuutta (vanhemmat versiot, ohjelmiston estämät...).

  • Jos verkkosivusto ei tue HSTS-varmenteen varoitusta, varoitus ponnahtaa edelleen, mutta se voidaan ohittaa.
  • Jos verkkosivusto tukee HSTS (google, facebook..) se näyttää varmenteen varoituksen ja estää sen (ei voi jatkaa tästä), siinä tapauksessa asiakkaan on käytävä 6.6.6.6.6 IP määritetty täällä käyttää sitä.

mceclip4.png

  • Voit kokeilla poistaa "Redirect HTTP to HTTPS" -toiminnon käytöstä ja katsoa, toimiiko se paremmin.

mceclip5.png

  • Walled Garden -luettelo joillekin tunnetuille HSTS-sivuille voi auttaa sulkemaan joitakin sivuja ensin Web-Authin ulkopuolelle (ei todennusta) ja antamaan asiakkaiden todennuksen, kun he vierailevat sivulla, jolla ei ole HSTS:ää (Hotspot-lisenssi vaaditaan).

mceclip6.png

Esim:

  • *.google.com
  • *.facebook.com
  • * toimii jokerimerkkinä

Huomautus : Heti kun uusi RFC-standardi on käytössä, seuraamme tilannetta ja päivitämme ohjelmistoversioitamme, jotta voimme tarjota parhaan ratkaisun, joka on saatavilla markkinoilla, voit seurata sitä täältä: http://www.rfc-editor.org/info/rfc7710.

Tässä artikkelissa kuvataan, miten Let's Encrypt -varmenteita voidaan käyttää USG-laitteessa.

Tämän osion artikkelit

Näytä lisää
Oliko tämä artikkeli hyödyllinen?
2/5 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.