Firewall [USG/USGFLEX/VPN/ATP] - Problemă cu pagina de certificat sau HSTS pentru soluția Hotspot

Creat - Actualizat
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Aveți mai multe întrebări? Trimitere solicitare

Aviz important:
Stimate client, vă rugăm să fiți conștienți de faptul că folosim traducerea automată pentru a furniza articole în limba dvs. locală. Este posibil ca nu toate textele să fie traduse cu acuratețe. În cazul în care există întrebări sau discrepanțe privind acuratețea informațiilor din versiunea tradusă, vă rugăm să consultați articolul original aici: Versiunea originală

În mod implicit, USG / ZyWALL / ATP Series are un certificat de neîncredere, iar utilizatorul Hotspot (Guest) trebuie să facă clic pentru a continua / sări peste mesajul de certificat pentru a vedea poate informațiile din pagina de conectare. Acest articol descrie cel mai cunoscut scenariu de acoperire a acestui aspect.

Soluție

Trebuie să achiziționați un certificat cu un nume FQDN, de exemplu "hotspot.hotelname.de" (De obicei, un certificat ieftin de tip Domain verified este suficient).

Importați certificatul, inclusiv cheia privată, în cadrul dispozitivului de tip firewall, la rubrica

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Schimbați sub System -> WWW certificatul în vederea încărcării unuia

mceclip1.png

Puteți decide dacă doriți să păstrați activ sau nu "Redirect HTTP to HTTPS". Ambele pot funcționa în cele din urmă.

Adăugați un A-Record în setarea DNS pentru a se potrivi cu ceea ce ați preferat: WAN IP la numele dumneavoastră FQDN
Folosiți numai IP WAN, dacă acest IP nu este utilizat în NAT pentru portul HTTP / HTTPS și dacă este un IP static, altfel folosiți IP LAN, dar este recomandat WAN.

mceclip2.png

dyn_repppppppp_1
  • Asigurați-vă că sub-rețeaua LAN (pentru utilizatorii Hotspot) are ZyWALL ca prim server DNS pentru a prinde FQDN-ul

mceclip3.png

Cu aceste configurații de bune practici, putem susține până la 80% din toți clienții / telefoanele mobile care pot evita problema HTTPS sau problema HSTS, dar și această soluție are unele limitări.

Limitări și sfaturi și trucuri

Limitări în cazul în care clientul, adică telefonul Android, iPhone, Mac, Windows 10 ... .. ... nu suportă funcția Hotspot Detection Feature (versiuni mai vechi, blocate de software...)

  • Dacă site-ul web nu suportă avertismentul privind certificatul HSTS încă apare, dar se poate sări peste el
  • Dacă site-ul web suportă HSTS (google, facebook...), acesta afișează avertismentul de certificat și îl blochează (nu se poate continua de aici), în acest caz, clientul trebuie să viziteze 6.6.6.6.6 IP-ul configurat aici pentru a-l accesa.

mceclip4.png

  • Puteți încerca să dezactivați "Redirecționarea HTTP la HTTPS" și să vedeți dacă funcționează mai bine

mceclip5.png

  • O listă Walled Garden pentru unele pagini HSTS cunoscute poate ajuta la excluderea unora din Web-Auth mai întâi (fără autentificare) și permite clienților să se autentifice atunci când vizitează o pagină fără HSTS (este necesară o licență Hotspot)

mceclip6.png

De exemplu:

  • *.google.com
  • *.facebook.com
  • * acționează ca un wildcard

Notă : De îndată ce va exista un nou standard RFC, vom monitoriza situația și vom actualiza versiunile noastre de software, pentru a oferi cea mai bună soluție disponibilă pe piață, pe care o puteți monitoriza de aici: http://www.rfc-editor.org/info/rfc7710

Iată un articol care descrie o modalitate de utilizare a certificatelor Let's Encrypt pe un USG

Articole în această secțiune

Vizualizați mai mult
A fost util acest articol?
2 din 5 au considerat acest conținut util
Partajare

Comentarii

0 comentarii

Vă rugăm să vă autentificați pentru a lăsa un comentariu.