Pare-feu [USG/USGFLEX/VPN/ATP] - Page de certificat ou problème HSTS pour la solution Hotspot

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Cher client, veuillez noter que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Par défaut, la série USG / ZyWALL / ATP a un certificat non fiable, et l'utilisateur du point d'accès (invité) doit cliquer pour continuer/sauter le message du certificat pour peut-être voir les informations de la page de connexion. Cet article décrit le scénario le plus connu pour couvrir ce problème.

Solution

Vous devez acheter un certificat avec un nom FQDN, par exemple "hotspot.hotelname.de" (en général, un certificat bon marché de type "Domain verified" suffit).

Importez le certificat, y compris la clé privée, dans le dispositif de pare-feu sous

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Modifier le certificat sous Système -> WWW pour en télécharger un.

mceclip1.png

Vous pouvez décider de garder "Redirect HTTP to HTTPS" actif ou non. Les deux peuvent fonctionner au final.

Ajoutez un enregistrement A dans les paramètres DNS pour correspondre à votre IP WAN préférée : WAN IP à votre nom FQDN.
N'utilisez l'IP WAN que si cette IP n'est pas utilisée dans le NAT pour le port HTTP / HTTPS et s'il s'agit d'une IP statique, sinon utilisez l'IP LAN, mais le WAN est recommandé.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Assurez-vous que votre sous-réseau LAN (pour les utilisateurs de Hotspot) a ZyWALL comme premier serveur DNS pour capturer le FQDN.

mceclip3.png

Avec ces configurations de meilleures pratiques, nous pouvons prendre en charge jusqu'à 80% de tous les clients / téléphones mobiles qui peuvent éviter le problème HTTPS ou HSTS, mais cette solution a aussi quelques limites.

Limites et Trucs et astuces

Limitations si le client, c'est-à-dire Android Phone, iPhone, Mac, Windows 10 ... ... ne peut pas prendre en charge la fonction de détection des points chauds (anciennes versions, blocage par un logiciel...).

  • Si le site web ne prend pas en charge le certificat HSTS, l'avertissement s'affiche toujours mais peut être ignoré.
  • Si le site web supporte HSTS (google, facebook..) il montre un avertissement de certificat et le bloque (pas moyen de continuer à partir d'ici), dans ce cas, un client doit visiter 6.6.6.6 IP configuré ici pour y accéder.

mceclip4.png

  • Vous pouvez essayer de désactiver "Rediriger HTTP vers HTTPS" et voir si cela fonctionne mieux.

mceclip5.png

  • Une liste "walled garden" pour certaines pages HSTS connues peut aider à exclure certaines pages de Web-Auth en premier lieu (pas d'authentification) et laisser les clients s'authentifier lorsqu'ils visitent une page sans HSTS (licence Hotspot requise).

mceclip6.png

Par exemple :

  • *.google.com
  • *.facebook.com
  • L'astérisque (*) agit comme un joker

Note : Dès qu'une nouvelle norme RFC sera mise en place, nous surveillerons la situation et mettrons à jour les versions de nos logiciels, afin de fournir la meilleure solution disponible sur le marché. Vous pouvez suivre l'évolution de la situation à partir d'ici : http://www.rfc-editor.org/info/rfc7710

Voici un article qui décrit comment utiliser les certificats Let's Encrypt sur un USG

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 2 sur 5
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.