Firewall [USG/USGFLEX/VPN/ATP] - Problem ze stroną certyfikatu lub HSTS dla rozwiązania Hotspot

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. Jeśli istnieją pytania lub rozbieżności dotyczące dokładności informacji w przetłumaczonej wersji, zapoznaj się z oryginalnym artykułem tutaj:Wersja oryginalna

Domyślnie seria USG / ZyWALL / ATP ma niezaufany certyfikat, a użytkownik hotspotu (gość) musi kliknąć, aby kontynuować / pominąć komunikat certyfikatu, aby być może zobaczyć informacje o stronie logowania. W tym artykule opisano najbardziej znany scenariusz, jak to zrobić.

Rozwiązanie

Należy zakupić certyfikat z nazwą FQDN, np. "hotspot.hotelname.de" (zazwyczaj wystarczy tani certyfikat typu Domain verified).

Zaimportować certyfikat wraz z kluczem prywatnym w urządzeniu firewall pod adresem

dyn_repppp_0

mceclip0.png

  • Zmień w System -> WWW certyfikat na przesłany

mceclip1.png

Możesz zdecydować, czy chcesz, aby "Przekieruj HTTP na HTTPS" było aktywne, czy nie. Ostatecznie oba mogą działać.

Dodaj rekord A w ustawieniach DNS, aby dopasować preferowany: WAN IP do nazwy FQDN
Używaj tylko WAN IP, jeśli ten adres IP nie jest używany w NAT dla portu HTTP / HTTPS i jeśli jest to statyczny adres IP, w przeciwnym razie użyj LAN IP, ale WAN jest zalecany.

mceclip2.png

dyn_repppp_1
  • Upewnij się, że podsieć LAN (dla użytkowników hotspotów) ma ZyWALL jako pierwszy serwer DNS do przechwytywania FQDN.

mceclip3.png

Dzięki tym konfiguracjom najlepszych praktyk możemy obsłużyć do 80% wszystkich klientów / telefonów komórkowych, które mogą uniknąć problemu HTTPS lub HSTS, ale to rozwiązanie ma również pewne ograniczenia.

Ograniczenia oraz wskazówki i triki

Ograniczenia, jeśli klient, tj. telefon z systemem Android, iPhone, Mac, Windows 10 ... nie może obsługiwać funkcji wykrywania hotspotów (starsze wersje, zablokowane przez oprogramowanie ...).

  • Jeśli witryna nie obsługuje certyfikatu HSTS, ostrzeżenie nadal wyskakuje, ale można je pominąć.
  • Jeśli witryna obsługuje HSTS (google, facebook..), wyświetla ostrzeżenie o certyfikacie i blokuje go (nie ma możliwości kontynuowania z tego miejsca), w takim przypadku klient musi odwiedzić skonfigurowany tutaj adres IP 6.6.6.6, aby uzyskać do niego dostęp.

mceclip4.png

  • Możesz spróbować wyłączyć "Przekieruj HTTP na HTTPS" i sprawdzić, czy to działa lepiej

mceclip5.png

  • Lista Walled Garden dla niektórych znanych stron HSTS może pomóc najpierw wykluczyć niektóre z Web-Auth (bez uwierzytelniania) i pozwolić klientom uwierzytelniać się podczas odwiedzania strony bez HSTS (wymagana licencja Hotspot).

mceclip6.png

Na przykład:

  • *.google.com
  • *.facebook.com
  • * działa jak symbol wieloznaczny

Uwaga: Gdy tylko pojawi się nowy standard RFC, będziemy monitorować sytuację i aktualizować nasze wersje oprogramowania, aby zapewnić najlepsze rozwiązanie dostępne na rynku, które można monitorować tutaj: http://www.rfc-editor.org/info/rfc7710.

Oto artykuł opisujący sposób korzystania z certyfikatów Let's Encrypt na USG

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 2 z 5
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.