Firewall [USG/USGFLEX/VPN/ATP] - Pagina del certificato o problema HSTS per la soluzione Hotspot

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, si prega di notare che utilizziamo la traduzione automatica per fornire articoli nella vostra lingua locale. Non tutto il testo può essere tradotto accuratamente. Se ci sono domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, si prega di rivedere l'articolo originale qui:Versione originale

Per impostazione predefinita, la serie USG / ZyWALL / ATP dispone di un certificato non attendibile e l'utente Hotspot (Guest) deve fare clic per continuare / saltare il messaggio del certificato per poter vedere le informazioni della pagina di accesso. Questo articolo descrive lo scenario più noto di come coprire questo problema.

Soluzione

È necessario acquistare un certificato con un nome FQDN, ad esempio "hotspot.hotelname.de" (di solito è sufficiente un certificato di tipo Domain verified a basso costo).

Importare il certificato, compresa la chiave privata, nel dispositivo firewall sotto la voce

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Modificare in Sistema -> WWW il certificato per caricarne uno

mceclip1.png

È possibile decidere se mantenere attivo o meno il "Reindirizzamento HTTP a HTTPS". Alla fine possono funzionare entrambi.

Aggiungere un record A nelle impostazioni DNS per far corrispondere l'IP WAN al nome FQDN preferito: IP WAN al vostro nome FQDN
Usare l'IP WAN solo se questo IP non è usato in NAT per la porta HTTP / HTTPS e se è un IP statico, altrimenti usare l'IP LAN, ma si raccomanda l'uso della WAN.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Assicurarsi che la sottorete LAN (per gli utenti Hotspot) abbia ZyWALL come primo server DNS per catturare l'FQDN.

mceclip3.png

Con queste configurazioni di Best Practice, possiamo supportare fino all'80% di tutti i client / telefoni cellulari che possono evitare il problema HTTPS o HSTS, ma anche questa soluzione ha alcune limitazioni.

Limitazioni e trucchi

Limitazioni se il client, ad esempio telefono Android, iPhone, Mac, Windows 10 ... ... non può supportare la funzione di rilevamento degli hotspot (versioni più vecchie, bloccate da software...)

  • Se il sito Web non supporta il certificato HSTS, l'avviso viene visualizzato ma può essere ignorato.
  • Se il sito web supporta HSTS (google, facebook...) mostra l'avviso del certificato e lo blocca (non c'è modo di continuare da qui), in questo caso, un cliente deve visitare 6.6.6.6 IP configurato qui per accedervi.

mceclip4.png

  • Si può provare a disabilitare "Reindirizza HTTP a HTTPS" e vedere se funziona meglio.

mceclip5.png

  • Un elenco di walled Garden per alcune pagine HSTS conosciute può essere utile per escluderne alcune da Web-Auth (nessuna autenticazione) e lasciare che i clienti si autentichino quando visitano una pagina senza HSTS (è richiesta la licenza Hotspot).

mceclip6.png

Ad esempio:

  • *.google.com
  • *.facebook.com
  • Il simbolo * agisce come un carattere jolly

Nota: non appena sarà in vigore un nuovo standard RFC, monitoreremo la situazione e aggiorneremo le versioni del nostro software, per offrire la migliore soluzione disponibile sul mercato, che potete monitorare da qui: http://www.rfc-editor.org/info/rfc7710

Ecco un articolo che descrive come utilizzare i certificati Let's Encrypt su un USG

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 2 su 5
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.