Firewall [USG/USGFLEX/VPN/ATP] - Problém so stránkou certifikátu alebo HSTS pre riešenie hotspotu

Vytvorené - Aktualizované
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte ďalšie otázky? Vložiť žiadosť

Dôležité upozornenie:
Upozornenie: Vážený zákazník, upozorňujeme, že na poskytovanie článkov v miestnom jazyku používame strojový preklad. Nie všetok text môže byť preložený presne. Ak sa vyskytnú otázky alebo nezrovnalosti týkajúce sa presnosti informácií v preloženej verzii, prečítajte si prosím originálny článok tu: Originálna verzia

V predvolenom nastavení má rad USG / ZyWALL / ATP nedôveryhodný certifikát a používateľ hotspotu (hosť) musí kliknúť na pokračovanie/preskočenie správy o certifikáte, aby sa možno zobrazili informácie o prihlasovacej stránke. Tento článok opisuje najznámejší scenár, ako to pokryť.

Riešenie

Musíte si zakúpiť certifikát s názvom FQDN, t. j. "hotspot.hotelname.de" (zvyčajne stačí lacný certifikát typu Domain verified).

Importovať certifikát vrátane súkromného kľúča do zariadenia firewall v časti

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • V časti Systém -> WWW zmeňte certifikát na nahratý

mceclip1.png

Môžete sa rozhodnúť, či chcete ponechať "Presmerovanie HTTP na HTTPS" aktívne alebo nie. Obidve funkcie môžu nakoniec fungovať.

V nastavení DNS pridajte záznam A tak, aby zodpovedal vami preferovanému: WAN k vášmu názvu FQDN
IP adresu WAN použite len vtedy, ak sa táto IP adresa nepoužíva v NAT pre port HTTP / HTTPS a ak je to statická IP adresa, inak použite IP adresu LAN, ale odporúča sa použiť IP adresu WAN.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Uistite sa, že vaša podsieť LAN (pre používateľov hotspotov) má ako prvý server DNS na zachytenie FQDN server ZyWALL

mceclip3.png

Pomocou týchto konfigurácií Best Practice môžeme podporovať až 80 % všetkých klientov / mobilných telefónov, ktorí sa môžu vyhnúť problému s HTTPS alebo HSTS, ale aj toto riešenie má určité obmedzenia.

Obmedzenia a tipy a triky

Obmedzenia, ak klient, t. j. telefón so systémom Android, iPhone, Mac, Windows 10 ... ... nemôže podporovať funkciu detekcie hotspotov (staršie verzie, blokované softvérom...)

  • Ak webová stránka nepodporuje certifikát HSTS, upozornenie sa stále zobrazuje, ale môže sa preskočiť
  • Ak Webová stránka podporuje HSTS (google, facebook..), zobrazí sa varovanie o certifikáte a zablokuje sa (nie je možné odtiaľ pokračovať), v takom prípade musí zákazník navštíviť tu nakonfigurovanú IP adresu 6.6.6.6, aby sa k nej dostal.

mceclip4.png

  • Môžete skúsiť vypnúť funkciu "Presmerovanie HTTP na HTTPS" a uvidíte, či to bude fungovať lepšie

mceclip5.png

  • Zoznam "walled garden" pre niektoré známe stránky HSTS môže pomôcť najskôr vylúčiť niektoré z Web-Auth (bez overovania) a nechať zákazníkov overiť sa pri návšteve stránky bez HSTS (vyžaduje sa licencia Hotspot)

mceclip6.png

Napríklad:

  • *.google.com
  • *.facebook.com
  • * funguje ako zástupný znak

Poznámka: Hneď ako bude zavedená nová norma RFC, budeme situáciu monitorovať a aktualizovať verzie nášho softvéru, aby sme poskytli najlepšie riešenie, ktoré je dostupné na trhu, môžete ho sledovať tu: http://www.rfc-editor.org/info/rfc7710

Tu je článok, ktorý opisuje spôsob, ako používať certifikáty Let's Encrypt na USG

Články v tejto sekcii

Zobraziť viac
Pomohol Vám tento článok?
2 z 5 to považovali za užitočné
Zdieľať

Príspevky

0 komentárov

Ak chcete napísať komentár, prihlásiť sa.