Брандмауэр [USG/USGFLEX/VPN/ATP] - страница сертификата или проблема HSTS для решения Hotspot

Создан - Обновлено
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Еще есть вопросы? Отправить запрос

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

По умолчанию USG / ZyWALL / ATP Series имеет недоверенный сертификат, и пользователю точки доступа (гостю) необходимо нажать кнопку продолжить/пропустить сообщение о сертификате, чтобы увидеть информацию на странице входа. В этой статье описан наиболее известный сценарий, как это сделать.

Решение

Вам необходимо приобрести сертификат с FQDN-именем, например "hotspot.hotelname.de" (обычно достаточно дешевого сертификата типа Domain verified).

Импортируйте сертификат, включая закрытый ключ, в устройство межсетевого экрана под именем

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Измените в разделе Система -> WWW сертификат на загруженный

mceclip1.png

Вы можете решить, оставить ли активным "Перенаправление HTTP на HTTPS" или нет. В конечном итоге оба варианта могут работать.

Добавьте A-запись в настройках DNS, чтобы она соответствовала вашему предпочитаемому: WAN IP вашему FQDN-имени.
Используйте WAN IP, только если этот IP не используется в NAT для HTTP / HTTPS порта и если это статический IP, в противном случае используйте LAN IP, но рекомендуется WAN.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Убедитесь, что подсеть LAN (для пользователей Hotspot) имеет ZyWALL в качестве первого DNS-сервера для получения FQDN

mceclip3.png

С помощью этих лучших конфигураций мы можем поддерживать до 80% всех клиентов / мобильных телефонов, которые могут избежать проблемы HTTPS или HSTS, но также это решение имеет некоторые ограничения.

Ограничения и советы и рекомендации

Ограничения, если клиент, т.е. Android Phone, iPhone, Mac, Windows 10 ... ... не может поддерживать функцию обнаружения горячих точек (старые версии, заблокированные программным обеспечением...)

  • Если веб-сайт не поддерживает HSTS сертификат предупреждение по-прежнему всплывает, но может пропустить
  • Если веб-сайт поддерживает HSTS (google, facebook...), он показывает предупреждение о сертификате и блокирует его (нет возможности продолжить отсюда), в этом случае клиент должен посетить 6.6.6.6 IP настроен здесь, чтобы получить доступ к нему.

mceclip4.png

  • Вы можете попробовать отключить "Перенаправление HTTP на HTTPS" и посмотреть, работает ли это лучше

mceclip5.png

  • Список известных страниц с HSTS может помочь исключить некоторые из них из Web-Auth (без аутентификации) и позволить клиентам аутентифицироваться при посещении страницы без HSTS (требуется лицензия Hotspot).

mceclip6.png

Например:

  • *.google.com
  • *.facebook.com
  • Символ * действует как подстановочный знак

Примечание: Как только появится новый стандарт RFC, мы будем следить за ситуацией и обновлять наши версии программного обеспечения, чтобы предоставить лучшее решение, доступное на рынке. Вы можете следить за этим отсюда: http://www.rfc-editor.org/info/rfc7710.

Вот статья, в которой описывается способ использования сертификатов Let's Encrypt на USG

Статьи в этом разделе

Больше
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 5
Поделиться

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.