如何在没有 SSL 解密的情况下使用通配符证书进行 URL 筛选重写页

本文介绍在第三方 CA 颁发的通配符证书 (不带SSL decryptinon) 时, 如何为客户端提供 URL 筛选管理覆盖 HTTPS 页。这不能用于 SSL 解密。

这有什么关系？

通常, 这对于从来宾 WiFi 区域访问并使用 URL 管理重写功能浏览 internet 的客户端非常有用。当使用自签名证书时, 用户将获得证书错误。这些说明解决了证书问题, 因为在那里无法推送证书, 因为它们不是域的一部分。

假设：

• 未配置 SSL 解密。如果配置了 SSL 解密, 那么配置起来就容易多了 .
• 第三方 CA 获得的通配符证书可用。例如, domain.com。
• 正在使用内部 DNS 基础结构, 并将其配置为 "设备 > 安装 > 服务 > DNS 服务器 " 下的防火墙冲突解决程序。这是配置的, 以便防火墙可以解析内部域。
• 已获得通配符证书, 并且已导入到防火墙中。它还已配置为 SSL/TLS 服务配置文件。
• 防火墙接口处于3层模式, URL 管理覆盖处于重定向模式。
• 主机应使用内部 dns 服务器 (或能够将特定主机的查询解析为防火墙内部接口的 IP 的 dns 服务器)。

步骤

1. 首先, 我们需要向 DNS 服务器添加一个域, 以便将其解析为防火墙的信任接口的 IP。在我们的示例中, 域将被 internal.domain.com, DNS 服务器中的记录应该 internal.domain.com, IP 应该10.50.240.72。 分配给将在重定向期间使用的内部接口的 IP。
2. 将记录添加到 DNS 服务器后, 尝试从内部主机 ping internal.domain.com, 看看它是否被解析为10.50.240.72。如果它不工作, 尝试使用 ipconfig/flushdns 清除信息。
    
3. 接下来, 将重定向地址配置为 FQDN, 在本例中为 internal.domain.com。通过进入设备 >> 安装 >> 内容 ID > 网址管理覆盖部分. 单击 "添加" 以添加或单击要编辑的现有重写 (如果有) 的名称。 
   
    
4. 此配置为 URL 管理覆盖页并提交后, 防火墙将重定向到 internal.domain.com 以输入替代密码。这将不再显示任何证书警告。