Captive Portal funktioniert nicht mit HTTPS Sessions
Symptom
Resolution
Voraussetzung
- Kenntnis der SSL-Entschlüsselung
- Wissen captive Portal (CP)
Nicht funktionierende Szenario
- Unbekannte Nutzer aus der drahtlosen Zone versuchen, https://www.Google.com zu besuchen.
- Da es sich um eine SSL-Sitzung handelt, kann die captive Portal-Seite nicht auslösen.
- Die Firewall ist nicht in der Lage, den Benutzer zu identifizieren, der keine captive Portal-Seite erhält.
Arbeiten-Szenario
Benötigen Sie einen SSL-Entschlüsselung im Ort, um ein captive Portal-Seite zu injizieren, wenn Benutzer einer beliebigen URL (Https) besucht.
Hier geht es zum Konfigurieren von SSL-Entschlüsselung
Um captive Portal zu konfigurieren, klicken Sie hier
Entnehmen Sie bitte den Screenshot und die folgende Beschreibung:
Arbeiten-Szenario
- Entschlüsselung Politik 1 sagt nicht entschlüsseln, drahtlose Benutzer bekannt.
- Entschlüsselung Politik 2 sagt entschlüsseln alle Datenverkehr von der WLAN-Zone.
- Unbekannte Nutzer aus der drahtlosen Zone versuchen, https://www.Google.com zu besuchen.
- Entschlüsselung Politik 2 löst und bietet eine CP-Seite.
- Unbekannter Benutzer wieder versucht andere Https-Website besuchen, die CP-Seite wird erneut aufgefordert, wegen Entschlüsselung Politik
- Benutzer Anmeldeinformationen eingibt und ist Teil einer Gruppe Captive-Portal-GFK (mit AD für die Authentifizierung der Benutzer CP).
- Jetzt die Firewall bewusst ist der Benutzer und der Entschlüsselung 1 Trigger werden und wird keinen weiteren Verkehr aus der bekannten Benutzer nicht entschlüsseln - Benutzer erhalten eine Warnseite Zertifikat nicht.
- Sicherheitspolitik ist auch erforderlich, im Ort, basierend auf Gruppe und Zone individuell. Erstellen Sie eine gruppenspezifische Richtlinie, auf der Oberseite und eine Zone-spezifische Politik darunter.
Erklärung der Warnmeldung
Unbekannter Benutzer werden aus der WLAN-Zone kommen, und gibt es keine Möglichkeit für sie, das selbstsignierte Zertifikat zu installieren, so dass sie eine Warnmeldung erhalten, für den Fall, dass die Entschlüsselung vorhanden ist.
Wenn Sie eine Fremdanbieter-Zertifikat für CP verwenden, nach Benutzer-Authentifizierung, die keine Decryp-Regel angewendet wird, und keine Aufforderung für Zertifikatwarnungen werden.
Danke.
Tarang Srivastav