Wie man Wildcard-Zertifikat für URL-Filterung override-Seite ohne SSL-Entschlüsselung verwendet

Dieser Artikel erklärt, wie man einen URL-Filter Admin-override-Seite über HTTPS an Clients bedient, wenn ein Wildcard-Zertifikat, das von einer Drittanbieter-CA ausgestellt wird, vorhanden ist (ohne SSL decryptinon). Dies kann nicht für die SSL-Entschlüsselung verwendet werden.

Warum ist das wichtig?

In der Regel ist dies nützlich für Kunden, die von einer Gast-WiFi-Zone aus zugreifen und die URL admin Override-Funktion nutzen, um im Internet zu surfen. Wenn dies mit einem selbst signierten Zertifikat geschieht, erhalten Nutzer einen Zertifikats Fehler. Diese Anweisungen lösen die Zertifikats Frage, bei der es nicht möglich ist, Zertifikate zu drücken, da Sie nicht Teil der Domäne wären.

Annahmen:

• Es wird keine SSL-Entschlüsselung konfiguriert. Wenn die SSL-Entschlüsselung konfiguriert ist, ist das viel einfacher zu konfigurieren .
• Ein Wildcard-Zertifikat, das von einer Drittanbieter-CA erworben wurde, ist erhältlich. Zum Beispiel, *. Domain.com.
• Die interne DNS-Infrastruktur wird genutzt, und das gleiche wird als Resolver der Firewall unter Device > Setup > Services > DNS-Server konfiguriert. Dies ist so konfiguriert, dass die Firewall die interne Domäne auflösen kann.
• Das Wildcard-Zertifikat wird eingeholt und bereits in die Firewall importiert. Es wurde auch in ein SSL/TLS-Service-Profil konfiguriert.
• Firewall-Schnittstellen befinden sich im Layer 3-Modus und URL-admin-override ist im Redirect-Modus.
• Die Hosts sollten die internen DNS-Server (oder die DNS-Server, die in der Lage sind, Abfragen für einen bestimmten Host auf die IP der internen Schnittstelle der Firewall zu lösen) verwenden.

Schritte

1. Zunächst müssen wir dem DNS-Server eine Domain hinzufügen, damit Sie auf die IP-Adresse der Firewall-Benutzeroberfläche aufgelöst wird. In unserem Beispiel wird die Domain Internal.Domain.com und die A-Aufzeichnung im DNS-Server sollte internal.Domain.com sein und IP sollte 10.50.240.72 werden. IP, das der internen Schnittstelle zugeordnet wird, die während der Umleitung verwendet wird.
2. Nachdem Sie den Datensatz auf dem DNS-Server hinzugefügt haben, versuchen Sie, Internal.Domain.com vom internen Host zu Ping und zu sehen, ob er auf 10.50.240.72 aufgelöst wird. Wenn es nicht funktioniert, versuchen Sie, ipconfig/flushdns zu verwenden, um die Informationen zu löschen.
    
3. Als nächstes wird die Redirect-Adresse als FQDN, in unserem Fall Internal.Domain.com, konfiguriert. Tun Sie dies, indem Sie in das Gerät > Setup > Content-ID > URL admin override Abschnitt gehen. Klicken Sie auf Hinzufügen oder klicken Sie auf den Namen des bestehenden override (falls vorhanden), um zu bearbeiten. 
   
    
4. Nachdem dies für URL-admin-override-Seiten konfiguriert und verpflichtet ist, wird die Firewall auf die Internal.Domain.com umgeleitet, um das override-Passwort einzugeben. Das soll keine Zertifikats Warnungen mehr zeigen.