Firewall [USG/USGFLEX/VPN/ATP] - Probleem met certificaatpagina of HSTS voor Hotspot-oplossing

Gemaakt - Bijgewerkt
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de nauwkeurigheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier: Originele versie

Standaard heeft de USG / ZyWALL / ATP-serie een niet-vertrouwd certificaat, en de hotspotgebruiker (gast) moet klikken om door te gaan/het certificaatbericht over te slaan om misschien de aanmeldingspagina-informatie te zien. Dit artikel beschrijft het meest bekende scenario van hoe dat af te dekken.

Oplossing

U moet een certificaat kopen met een FQDN-naam, bijvoorbeeld "hotspot.hotelname.de" (meestal is een goedkoop certificaat van het type Domain verified voldoende).

Importeer het certificaat inclusief de privésleutel in de firewall onder

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Wijzig onder Systeem -> WWW het certificaat in een upload

mceclip1.png

Je kunt zelf beslissen of je "Redirect HTTP to HTTPS" actief wilt houden of niet. Beide kunnen uiteindelijk werken.

Voeg een A-Record toe in de DNS-instelling die overeenkomt met je voorkeur: WAN IP aan je FQDN Naam.
Gebruik alleen WAN IP, als dit IP niet wordt gebruikt in NAT voor HTTP / HTTPS Port en als het een statisch IP is, anders gebruik LAN IP, maar WAN is aanbevolen.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Zorg ervoor dat uw LAN Subnet (voor Hotspot Gebruikers) ZyWALL als eerste DNS Server heeft om FQDN op te vangen.

mceclip3.png

Met deze Best Practice-configuraties kunnen we tot 80% van alle clients/mobiele telefoons ondersteunen die het HTTPS-probleem of het HSTS-probleem kunnen vermijden, maar ook deze oplossing heeft enkele beperkingen.

Beperkingen en tips & trucs

Beperkingen als de client (Android Phone, iPhone, Mac, Windows 10 ... ...) Hotspot Detection Feature niet ondersteunt (oudere versies, geblokkeerd door software...)

  • Als de website geen HSTS-certificaat ondersteunt, verschijnt de waarschuwing nog steeds, maar deze kan worden overgeslagen.
  • Als de website HSTS ondersteunt (google, facebook...) toont het certificaat waarschuwing en blokkeert het (geen manier om verder te gaan vanaf hier), in dat geval moet een klant 6.6.6.6 IP hier geconfigureerd om toegang te krijgen.

mceclip4.png

  • U kunt proberen "HTTP omleiden naar HTTPS" uit te schakelen en kijken of dat beter werkt.

mceclip5.png

  • Een walled garden lijst voor een aantal bekende HSTS pagina's kan helpen om sommige eerst uit te sluiten van Web-Auth (geen authenticatie) en klanten te laten authenticeren bij het bezoeken van een pagina zonder HSTS (Hotspot licentie vereist)

mceclip6.png

Bijvoorbeeld:

  • *.google.com
  • *.facebook.com
  • De * werkt als een wildcard

Opmerking: Zodra er een nieuwe RFC-standaard van kracht is, zullen we de situatie in de gaten houden en onze softwareversies bijwerken om de beste oplossing te leveren die op de markt beschikbaar is. U kunt dit hier volgen: http://www.rfc-editor.org/info/rfc7710

Hier is een artikel dat beschrijft hoe je Let's Encrypt-certificaten op een USG kunt gebruiken

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 2 van 5
Delen

Opmerkingen

0 opmerkingen

U moet u aanmelden om een opmerking te plaatsen.