Brandvägg [USG/USGFLEX/VPN/ATP] - Problem med certifikatsida eller HSTS för Hotspot-lösning

Skapat - Uppdaterad
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, observera att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om informationens riktighet i den översatta versionen, vänligen granska den ursprungliga artikeln här:Originalversion

Som standard har USG / ZyWALL / ATP-serien ett otillförlitligt certifikat, och hotspot-användaren (gästen) måste klicka för att fortsätta / hoppa över certifikatmeddelandet för att kanske se inloggningssidans information. Den här artikeln beskriver det mest kända scenariot för hur detta ska hanteras.

Lösning

Du måste köpa ett certifikat med ett FQDN-namn, t.ex. "hotspot.hotelname.de" (Vanligtvis räcker det med ett billigt certifikat av typen Domain verified)

Importera certifikatet inklusive den privata nyckeln i brandväggsenheten under

Configuration -> Object -> Certificate and upload it to "My Certificates"

mceclip0.png

  • Ändra under System -> WWW certifikatet till att ladda upp ett

mceclip1.png

Du kan bestämma om du vill hålla "Redirect HTTP to HTTPS" aktiv eller inte. Båda kan fungera i slutändan.

Lägg till ett A-Record i DNS-inställningen för att matcha din önskade: WAN IP till ditt FQDN-namn
Använd endast WAN IP, om denna IP inte används i NAT för HTTP / HTTPS Port och om det är en statisk IP, annars använd LAN IP, men WAN rekommenderas.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • Se till att ditt LAN-subnät (för Hotspot-användare) har ZyWALL som första DNS-server för att fånga FQDN

mceclip3.png

Med dessa Best Practice-konfigurationer kan vi stödja upp till 80% av alla klienter / mobiltelefoner som kan undvika HTTPS-problemet eller HSTS-problemet, men även denna lösning har vissa begränsningar.

Begränsningar och Tips&Tricks

Begränsningar om klienten, t.ex. Android Phone, iPhone, Mac, Windows 10 ... inte kan! stödja Hotspot Detection Feature (äldre versioner, blockerade av programvara ...)

  • Om webbplatsen inte stöder HSTS-certifikat varnar fortfarande popup men kan hoppa över
  • Om webbplatsen stöder HSTS (Google, Facebook ..) visar den certifikatvarning och blockerar den (inget sätt att fortsätta härifrån), i så fall måste en kund besöka 6.6.6.6 IP konfigurerad här för att komma åt den.

mceclip4.png

  • Du kan försöka inaktivera "Omdirigera HTTP till HTTPS" och se om det fungerar bättre

mceclip5.png

  • En walled garden-lista för vissa kända HSTS-sidor kan hjälpa till att utesluta vissa från Web-Auth först (ingen autentisering) och låta kunderna autentisera sig när de besöker en sida utan HSTS (Hotspot-licens krävs)

mceclip6.png

Till exempel:

  • *.google.com
  • *.facebook.com
  • * fungerar som ett jokertecken

Obs: Så snart det finns en ny RFC-standard på plats kommer vi att övervaka situationen och uppdatera våra programversioner för att leverera den bästa lösningen som finns tillgänglig på marknaden, du kan övervaka den här: http://www.rfc-editor.org/info/rfc7710

Här är en artikel som beskriver ett sätt att använda Let's Encrypt-certifikat på en USG

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
2 av 5 tyckte detta var till hjälp
Dela

Kommentarer

0 kommentarer

logga in för att lämna en kommentar.