Tűzfal [USG/USGFLEX/VPN/ATP] - Tanúsítványoldal vagy HSTS probléma a Hotspot megoldáshoz

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos értesítés:
Kérjük, vegye figyelembe, hogy gépi fordítást használunk, hogy a cikkeket az Ön helyi nyelvén nyújtsuk. Előfordulhat, hogy nem minden szöveget fordítunk le pontosan. Ha a lefordított változatban szereplő információk pontosságával kapcsolatban kérdés vagy eltérés merül fel, kérjük, tekintse meg az eredeti cikket itt: Eredeti változat

Alapértelmezés szerint az USG / ZyWALL / ATP sorozat nem megbízható tanúsítvánnyal rendelkezik, és a Hotspot felhasználónak (vendég) a tanúsítvány üzenet folytatásához/átugrásához a tanúsítvány üzenetére kell kattintania, hogy talán láthassa a bejelentkezési oldal információit. Ez a cikk a legismertebb forgatókönyvet írja le, hogyan lehet ezt lefedni.

Megoldás

Meg kell vásárolnia egy tanúsítványt FQDN névvel, azaz "hotspot.hotelname.de" (Általában egy olcsó Domain verified típusú tanúsítvány elég).

Importálja a tanúsítványt a privát kulccsal együtt a tűzfal eszközön belül a következő menüpont alatt

dyn_repppppppp_0

mceclip0.png

  • Módosítsa a Rendszer -> WWW alatt a tanúsítványt feltöltésre.

mceclip1.png

Ön döntheti el, hogy aktívan akarja-e tartani a "HTTP átirányítása HTTPS-re" opciót vagy sem. Végül mindkettő működhet.

Adjon hozzá egy A-rekordot a DNS-beállításban, hogy megfeleljen az Ön által preferáltnak: WAN IP az Ön FQDN nevéhez
Csak akkor használja a WAN IP-t, ha ezt az IP-t nem használja a NAT a HTTP / HTTPS porthoz, és ha ez egy statikus IP, egyébként használja a LAN IP-t, de a WAN ajánlott.

mceclip2.png

dyn_repppppppp_1
  • Győződjön meg róla, hogy a LAN alhálózat (Hotspot felhasználók számára) a ZyWALL az első DNS szerver az FQDN elkapásához.

mceclip3.png

Ezekkel a Best Practice konfigurációkkal az ügyfelek / mobiltelefonok 80%-át támogathatjuk, amelyek elkerülhetik a HTTPS vagy HSTS problémát, de ennek a megoldásnak is vannak bizonyos korlátai.

Korlátozások és tippek és trükkök

Korlátozások, ha az ügyfél, pl. Android Phone, iPhone, Mac, Windows 10 .. .. ... nem tudja támogatni a Hotspot Detection Feature-t (régebbi verziók, szoftver által blokkolt...).

  • Ha a webhely nem támogatja a HSTS tanúsítványt, a figyelmeztetés továbbra is felugrik, de kihagyható.
  • Ha a webhely támogatja a HSTS-t (google, facebook...), akkor a tanúsítványra vonatkozó figyelmeztetés megjelenik és blokkolja (innen nem lehet folytatni), ebben az esetben az ügyfélnek meg kell látogatnia az itt beállított 6.6.6.6.6 IP címet, hogy hozzáférjen.

mceclip4.png

  • Megpróbálhatja kikapcsolni a "HTTP átirányítása HTTPS-re" opciót, és megnézheti, hogy ez jobban működik-e.

mceclip5.png

  • Néhány ismert HSTS oldalra vonatkozó walled garden lista segíthet, hogy először kizárjon néhányat a Web-Auth-ból (nincs hitelesítés), és hagyja, hogy az ügyfelek hitelesítsék magukat, amikor HSTS nélküli oldalt látogatnak (Hotspot licenc szükséges).

mceclip6.png

Például:

  • *.google.com
  • *.facebook.com
  • A * úgy működik, mint egy joker

Megjegyzés: Amint egy új RFC szabvány lesz érvényben, figyelni fogjuk a helyzetet és frissítjük a szoftver verzióit, hogy a legjobb megoldást nyújtsuk, ami elérhető a piacon, ezt innen követheti nyomon: http://www.rfc-editor.org/info/rfc7710.

Itt egy cikk, amely leírja a Let's Encrypt tanúsítványok használatának módját egy USG-n.

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
5/2 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.