Brannmur [USG/USGFLEX/VPN/ATP] - Problem med sertifikatsiden eller HSTS for Hotspot-løsning

Opprettet - Oppdatert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er nøyaktig oversatt. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du lese originalartikkelen her:Originalversjon

USG-/ZyWALL-/ATP-serien har som standard et sertifikat som ikke er klarert, og hotspot-brukeren (gjesten) må klikke for å fortsette/overse sertifikatmeldingen for kanskje å se informasjonen på påloggingssiden. Denne artikkelen beskriver det mest kjente scenariet for hvordan dette kan løses.

Løsning

Du må kjøpe et sertifikat med et FQDN-navn, f.eks. "hotspot.hotelname.de" (vanligvis holder det med et billig sertifikat av typen Domain verified).

Importer sertifikatet inkludert den private nøkkelen i brannmurenheten under

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Endre under System -> WWW sertifikatet til å laste opp et sertifikat.

mceclip1.png

Du kan velge om du vil beholde "Redirect HTTP to HTTPS" aktiv eller ikke. Begge deler kan fungere til slutt.

Legg til en A-record i DNS-innstillingen for å matche din foretrukne: WAN-IP til FQDN-navnet ditt
Bruk bare WAN-IP hvis denne IP-en ikke brukes i NAT for HTTP/HTTPS-porten og hvis det er en statisk IP, ellers kan du bruke LAN-IP, men WAN anbefales.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Sørg for at LAN-undernettet (for Hotspot-brukere) har ZyWALL som første DNS-server for å fange opp FQDN.

mceclip3.png

Med disse Best Practice-konfigurasjonene kan vi støtte opptil 80 % av alle klienter/mobiltelefoner som kan unngå HTTPS-problemet eller HSTS-problemet, men også denne løsningen har noen begrensninger.

Begrensninger og tips og triks

Begrensninger hvis klienten, f.eks. Android-telefon, iPhone, Mac, Windows 10 ... ikke støtter Hotspot Detection-funksjonen (eldre versjoner, blokkert av programvare ...).

  • Hvis nettstedet ikke støtter HSTS-sertifikat, vises det fortsatt en advarsel, men du kan hoppe over den.
  • Hvis nettstedet støtter HSTS (google, facebook...), viser det sertifikatadvarsel og blokkerer det (ingen måte å fortsette herfra), i så fall må en kunde besøke 6.6.6.6 IP konfigurert her for å få tilgang til det.

mceclip4.png

  • Du kan prøve å deaktivere "Omdiriger HTTP til HTTPS" og se om det fungerer bedre.

mceclip5.png

  • En walled Garden-liste for noen kjente HSTS-sider kan bidra til å ekskludere noen fra Web-Auth først (ingen autentisering) og la kundene autentiseres når de besøker en side uten HSTS (Hotspot-lisens kreves).

mceclip6.png

For eksempel:

  • *.google.com
  • *.facebook.com
  • * fungerer som et jokertegn

Merk: Så snart en ny RFC-standard er på plass, vil vi overvåke situasjonen og oppdatere programvareversjonene våre for å levere den beste løsningen som er tilgjengelig på markedet. Du kan følge med her: http://www.rfc-editor.org/info/rfc7710

Her er en artikkel som beskriver hvordan du bruker Let's Encrypt-sertifikater på en USG.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
2 av 5 syntes dette var nyttig
Del

Kommentarer

0 kommentarer

Logg på hvis du vil legge inn en kommentar.