Güvenlik Duvarı [USG/USGFLEX/VPN/ATP] - Hotspot Çözümü için Sertifika Sayfası veya HSTS Sorunu

Oluşturma tarihi - Güncellenme
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Başka sorularınız var mı? Bir talep gönder

Önemli Uyarı:
Değerli müşterimiz, makaleleri yerel dilinizde sunmak için makine çevirisi kullandığımızı lütfen unutmayın. Tüm metinler doğru şekilde çevrilemeyebilir. Çevrilmiş versiyondaki bilgilerin doğruluğu konusunda sorularınız veya tutarsızlıklarınız varsa, lütfen orijinal makaleyi buradan inceleyin:Orijinal Versiyon

Varsayılan olarak, USG / ZyWALL / ATP Serisi güvenilmeyen bir sertifikaya sahiptir ve Hotspot Kullanıcısının (Misafir) Oturum Açma Sayfası Bilgilerini görebilmesi için sertifika mesajına devam etmek/atlamak için tıklaması gerekir. Bu makale, bunun nasıl ele alınacağına dair en iyi bilinen senaryoyu açıklamaktadır.

Çözüm

"hotspot.hotelname.de" gibi bir FQDN Adına sahip bir sertifika satın almanız gerekir (Genellikle ucuz bir Domain verified tipi sertifika yeterlidir)

Güvenlik duvarı cihazındaki özel anahtarı içeren sertifikayı

dyn_repppp_0

mceclip0.png

  • Sistem -> WWW altında sertifikayı yüklemek için değiştirin

mceclip1.png

"HTTP'yi HTTPS'ye Yönlendir "i aktif tutmak isteyip istemediğinize karar verebilirsiniz. Her ikisi de sonuçta çalışabilir.

Tercih ettiğinizle eşleştirmek için DNS ayarına bir A-Kaydı ekleyin: WAN IP ile FQDN Adınızı eşleştirin
Yalnızca WAN IP'sini kullanın, eğer bu IP HTTP / HTTPS Portu için NAT'ta kullanılmıyorsa ve statik bir IP ise, aksi takdirde LAN IP'sini kullanın, ancak WAN önerilir.

mceclip2.png

Login by SSH to USG and enter the following commands:
configure terminal
web-auth redirect-fqdn 
write
exit
  • LAN Alt Ağınızın (Hotspot Kullanıcıları için) FQDN'yi yakalamak için ilk DNS Sunucusu olarak ZyWALL'a sahip olduğundan emin olun

mceclip3.png

Bu En İyi Uygulama yapılandırmalarıyla, HTTPS sorununu veya HSTS sorununu önleyebilecek tüm istemcilerin / cep telefonlarının %80'ine kadarını destekleyebiliriz, ancak bu çözümün de bazı sınırlamaları vardır.

Sınırlamalar ve İpuçları&Püf Noktaları

İstemci, yani Android Telefon, iPhone, Mac, Windows 10 ... Hotspot Algılama Özelliğini destekleyemiyorsa sınırlamalar (eski sürümler, yazılım tarafından engellenmiş ...)

  • Web sitesi HSTS sertifikasını desteklemiyorsa uyarı yine de açılır ancak atlanabilir
  • Web sitesi HSTS'yi destekliyorsa (google, facebook..) sertifika uyarısı gösterir ve engeller (buradan devam etmenin bir yolu yoktur), bu durumda bir müşteri erişmek için burada yapılandırılmış 6.6.6.6 IP'yi ziyaret etmelidir.

mceclip4.png

  • "HTTP'yi HTTPS'ye Yönlendir" seçeneğini devre dışı bırakmayı deneyebilir ve bunun daha iyi çalışıp çalışmadığını görebilirsiniz

mceclip5.png

  • Bilinen bazı HSTS sayfaları için bir Walled Garden listesi, bazılarını önce Web-Auth'tan hariç tutmaya (kimlik doğrulama yok) ve müşterilerin HSTS olmayan bir sayfayı ziyaret ederken kimlik doğrulamasına izin vermeye yardımcı olabilir (Hotspot lisansı gereklidir)

mceclip6.png

Örneğin:

  • *.google.com
  • *.facebook.com
  • * bir joker karakter gibi davranır

Not: Yeni bir RFC Standardı yürürlüğe girer girmez, piyasada mevcut olan en iyi çözümü sunmak için durumu izleyecek ve yazılım sürümlerimizi güncelleyeceğiz, buradan izleyebilirsiniz: http://www.rfc-editor.org/info/rfc7710

Let's Encrypt sertifikalarının USG'de nasıl kullanılacağını açıklayan bir makale

Bu bölümdeki makaleler

Daha fazlasını göster
Bu makale yardımcı oldu mu?
5 kişi içerisinden 2 kişi bunun yardımcı olduğunu düşündü
Paylaş

Yorumlar

0 yorum

Yorum yazmak için lütfen oturum açın: oturum aç.