Comment faire pour utiliser le certificat wildcard pour filtrage d'URL page de remplacement sans décryptage SSL

Cet article explique comment servir une page de substitution d'admin de filtrage d'URL sur https aux clients lorsqu'un certificat générique émis par une autorité de certification tierce est présent (sans decryptinon SSL). Cela ne peut pas être utilisé pour le décryptage SSL.

Pourquoi est-ce important?

Typiquement, cela est utile pour les clients qui ont accès à partir d'une zone WiFi invité et d'utiliser la fonction admin URL override pour naviguer sur Internet. Lorsque cela se produit avec un certificat auto-signé, les utilisateurs obtiendront une erreur de certificat. Ces instructions résolvent le problème de certificat, où il n'est pas possible de pousser des certificats, car ils ne feraient pas partie du domaine.

Hypothèses :

• Aucun décryptage SSL n'est configuré. Si le décryptage SSL est configuré, il est beaucoup plus facile à configurer.
• Un certificat générique obtenu par une autorité de certification tierce est disponible. Par exemple, *. domain.com.
• L'infrastructure DNS interne est utilisée et la même configuration est configurée en tant que résolveur du pare-feu sous Device > Setup > services > serveurs DNS. Cette configuration est configurée pour que le pare-feu puisse résoudre le domaine interne.
• Le certificat générique est obtenu et est déjà importé dans le pare-feu. Il a également été configuré dans un profil de service SSL/TLS.
• Les interfaces de pare-feu sont en mode Layer 3 et l'URL admin override est en mode redirection.
• Les hôtes doivent utiliser les serveurs DNS internes (ou les serveurs DNS qui sont capables de résoudre les requêtes d'un hôte spécifique à l'adresse IP de l'interface interne du pare-feu).

Étapes

1. Tout d'abord, nous devons ajouter un domaine au serveur DNS afin qu'il soit résolu à l'IP de l'interface de confiance du pare-feu. Dans notre exemple, le domaine va être Internal.domain.com et l'enregistrement A dans le serveur DNS doit être Internal.domain.com et IP doit être 10.50.240.72. IP assigné à l'interface interne qui sera utilisé pendant la redirection.
2. Après avoir ajouté l'enregistrement au serveur DNS, essayez de ping Internal.domain.com à partir de l'hôte interne et voir si elle est résolue à 10.50.240.72. Si elle ne fonctionne pas, essayez d'utiliser ipconfig/flushdns effacer les informations.
    
3. Ensuite, le configurer l'adresse de redirection en tant que nom de domaine complet, dans notre cas Internal.domain.com. Pour ce faire, allez dans Device > Setup > Content-ID > URL admin override section. Cliquez sur Ajouter pour ajouter ou sur le nom du remplacement existant (le cas échéant) à modifier. 
   
    
4. Une fois cette configuration configurée pour les pages d'administration d'URL et validées, le pare-feu redirige vers le Internal.domain.com pour entrer le mot de passe de remplacement. Cela ne devrait plus afficher d'avertissements de certificat.