 《討論》申請到了憑證,就能解決HTTPS的Captive Portal導轉問題嗎? |       |
請問真的申請到了給XG使用的FQDN憑證,也假設XG的Captive Portal可以以FQDN的方式來進行導轉,
開啟HTTPS網頁導轉到Captive Portal的問題就能解決嗎?
順子個人認為答案是否定的!
因為跟CA申請憑證後,該憑證是用在管理者登入XG時,可透過FQDN來連結XG。
但XG在處理HTTPS的網頁內容時,是透過XG自己的CA授權單位來為中繼處理,
核發所有“假憑證”給user連結的HTTPS站台。
網頁認證Captive Portal也是一樣的。
在未經身份驗證的user開啟HTTPS網頁時,也是先透過XG上的CA授權單位來核發該HTTPS網頁的憑證以解析網頁內容,
然後系統發現有啟用身份驗證機制,且該使用者尚未查驗,
所以就導轉頁面到Captive Portal進行帳密核對的身份驗證。
↑開啟yahoo網頁做身份驗證時,yahoo的憑證是XG自己的CA核發的。
↑開啟facebook網頁做身份驗證時,facebook的憑證也是XG自己的CA核發的。
↑開啟google網頁做身份驗證時,google的憑證當然還是XG自己的CA核發的。
而這個CA憑證授權單位,雖然在XG上有一堆,但可以提供使用者來使用的,只有Sophos XG自己帶的兩個。
其它真正合法的CA,在你沒有該CA的 私有金鑰 及 密碼 時,是無法用來做CA發“假憑證”給目標頁面的!
那我公司有自己的網域,自己的CA,當然也有這個CA的私有金鑰及密碼時,
總可以拿來做XG的CA授權單位吧?
沒錯,你可以上傳自己的CA給XG使用,
但對其它未加入網域的電腦而言,還是不會認可這個只有你自己網域所認可的CA。
因此要解決HTTPS的Captive Portal導轉問題,還是要把這個CA授權單位匯入電腦才能解決此問題!
所以順子認為,即便申請了憑證,Sophos也把這個 FQDN request 列入了下一版XG的修改考量,
但XG在處理HTTPS網頁與Captive Portal導轉時,這個問題依然存在,
關鍵點是在CA授權單位而不是以FQDN來顯示XG的頁面。
申請了這個FQDN憑證,對HTTPS網頁的Captive Portal導轉沒有任何幫助,
您還是要乖乖的把XG上使用的CA憑證匯入前端電腦,才能一勞永逸的解決Captive Portal導轉與HTTPS scan的問題!
不過台灣Sophos原廠並不這麼認為,其回覆如下,
目前Capital Portal跟HTTPS解密用的憑證是不同的, Capital Portal是使用Admin Setting裡面的憑證。
XG在導到Capital Portal的時候, 預設只會導向到 https://XG_IPAddress:8090 , 所以才無法申請Public憑證來放到設備裡面。
只要我們設備可以設定導向的時候能使用FQDN, 使用Public是不會有這個問題才對。
XG目前還沒有以FQDN來導轉Captive Portal的功能,無從得知對與錯;
但從Captive Portal的導轉處理邏輯來看,順子相信自己的判斷是對的!
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2016-12-05, 14:08
《分享》FQDN的Captive Portal有解了!
