Shunze 學園 >資訊設備專區 >Sophos XG > 《討論》申請到了憑證,就能解決HTTPS的Captive Portal導轉問題嗎? 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《討論》申請到了憑證,就能解決HTTPS的Captive Portal導轉問題嗎?引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

請問真的申請到了給XG使用的FQDN憑證,也假設XG的Captive Portal可以以FQDN的方式來進行導轉,
開啟HTTPS網頁導轉到Captive Portal的問題就能解決嗎?

順子個人認為答案是否定的!

因為跟CA申請憑證後,該憑證是用在管理者登入XG時,可透過FQDN來連結XG。






但XG在處理HTTPS的網頁內容時,是透過XG自己的CA授權單位來為中繼處理,
核發所有“假憑證”給user連結的HTTPS站台。

網頁認證Captive Portal也是一樣的。
在未經身份驗證的user開啟HTTPS網頁時,也是先透過XG上的CA授權單位來核發該HTTPS網頁的憑證以解析網頁內容,
然後系統發現有啟用身份驗證機制,且該使用者尚未查驗,
所以就導轉頁面到Captive Portal進行帳密核對的身份驗證。


↑開啟yahoo網頁做身份驗證時,yahoo的憑證是XG自己的CA核發的。


↑開啟facebook網頁做身份驗證時,facebook的憑證也是XG自己的CA核發的。


↑開啟google網頁做身份驗證時,google的憑證當然還是XG自己的CA核發的。


而這個CA憑證授權單位,雖然在XG上有一堆,但可以提供使用者來使用的,只有Sophos XG自己帶的兩個。



其它真正合法的CA,在你沒有該CA的 私有金鑰密碼 時,是無法用來做CA發“假憑證”給目標頁面的!


那我公司有自己的網域,自己的CA,當然也有這個CA的私有金鑰及密碼時,
總可以拿來做XG的CA授權單位吧?

沒錯,你可以上傳自己的CA給XG使用,
但對其它未加入網域的電腦而言,還是不會認可這個只有你自己網域所認可的CA。
因此要解決HTTPS的Captive Portal導轉問題,還是要把這個CA授權單位匯入電腦才能解決此問題!


所以順子認為,即便申請了憑證,Sophos也把這個 FQDN request 列入了下一版XG的修改考量,
但XG在處理HTTPS網頁與Captive Portal導轉時,這個問題依然存在,
關鍵點是在CA授權單位而不是以FQDN來顯示XG的頁面。
申請了這個FQDN憑證,對HTTPS網頁的Captive Portal導轉沒有任何幫助,
您還是要乖乖的把XG上使用的CA憑證匯入前端電腦,才能一勞永逸的解決Captive Portal導轉與HTTPS scan的問題!



不過台灣Sophos原廠並不這麼認為,其回覆如下,

目前Capital Portal跟HTTPS解密用的憑證是不同的, Capital Portal是使用Admin Setting裡面的憑證。
XG在導到Capital Portal的時候, 預設只會導向到https://XG_IPAddress:8090 , 所以才無法申請Public憑證來放到設備裡面。
只要我們設備可以設定導向的時候能使用FQDN, 使用Public是不會有這個問題才對。


XG目前還沒有以FQDN來導轉Captive Portal的功能,無從得知對與錯;
但從Captive Portal的導轉處理邏輯來看,順子相信自己的判斷是對的!



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2016-12-05, 14:08 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《分享》FQDN的Captive Portal有解了!引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

今天在 Community 上看到有user提供了一個導向FQDN的Captive Portal作法。
在申請了for XG的正式憑證後,於 Web Policy Actions for Unauthenticated Users (Captive Portal) 中選擇 Display a custom message,
然後輸入以下導向FQDN的Javascript於 Custom Message 中,並進行套用。

<SCRIPT LANGUAGE="JavaScript">
window.location = "https://sophos.shunze.info:8090/";
</SCRIPT>



經過這樣的設定,總算有一個方法可以成功的將使用者開啟的網頁導轉到XG的FQDN驗證畫面,
但HTTPS的部分,還是一樣必需匯入XG的憑證做為中繼憑證才行
否則一樣會因憑證問題而無法導轉HTTPS網頁!
看來順子先前主觀的判斷是對的...


不過透過這樣的設定來導向FQDN有一個先決條件要注意,
那就是FQDN所解析出來的IP必需是內部IP,而不是外部IP,
因為在XG中,WAN Zone是不支援Captive Portal的!



因此在DNS設定上,務必要讓user拿到的FQDN指向XG的內部IP才行。
只要注意到這點,再加上正式有效的憑證,導轉user網頁到的XG的FQDN Captive Portal就能順利實現了∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2018-02-13, 17:21 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR