Guest Control - добавить SSL сертификат | Ubiquiti форум UBNT: инструкции, настройка

Guest Control - добавить SSL сертификат

LAMER83

новичок
19 Мар 2019
6
0
3
39
Добрый день. Добавил SSL-сертификат в файл «keystore», подправил локальную зону DNS, теперь при входе https://internet.mydomain.ru:8443/ все нормально сертификат действительный ошибок нет, все красиво. Как сделать чтобы при перенаправлении пользователей на «Hotspot (стандартный)» адрес был не вида http://192.168.x.x:8880/guest/, а https://internet.mydomain.ru:8880/guest/ и как привязать SSLк гостевому порталу? Серверная часть установлена на Windows
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
39
По порядку:
1. Статический IP есть
2. Под домен есть и работает, настройки DNS произведены корректно т.к. по ссылке https://internet.mydomain.ru:8443/ панель управления открывается и работает.
3. "Далее в настройках прописать ваш поддомен" - не понятно в каких настройках ...
4. По ssh подключался и прописал set-inform http://internet.mydomain.ru:8080/inform
4.1. по команде info вижу: Status: Connected (http://internet.mydomain.ru:8080/inform)
5. Еще: Settings>Guest Control --- 'Portal URL Hostname' - данное поле не нашел. Версия контролера 5.10.19.0
Служба пере запущена, устройство перезагружено в гостевом портале также http://192.168.x.x:8880/guest/
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
39
Установил галочку в поле Redirect using hostname и прописал значение http://internet.mydomain.ru, в гостевом портале стало нормально отображаться доменное имя. Но я хочу что-бы редирект был на https при установке опции "Use Secure Portal" переадресации не происходит порт 8843 открыт
 

dimacbz

Moderator
16 Июн 2014
1.474
237
75
Несколько рекомендаций:

  • установите сертификат SSL вместе с промежуточными сертификатами, иначе клиенты не смогут проверить сертификат
  • Используйте этот инструмент для проверки полной цепочки сертификатов:
  • https://www.geocerts.com/ssl-checker
  • Указывайте адрес через https
Также обязательно включите эти параметры:

Использовать безопасный портал
Redirect с использованием имени хоста

Лучше оставить параметр Включить перенаправление HTTPS отключенным.

В этой теме на 2-ой странице есть решение, почитайте внимательно.

https://community.ubnt.com/t5/UniFi-Wireless/Captive-portal-https-certificate-error/td-p/1517144/page/2

Еще одна развернутая тема:
https://community.ubnt.com/t5/UniFi-Wireless/HOWTO-Install-Signed-SSL-Certificate-on-Cloudkey-and-use-for/m-p/1977049#M235383
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
39
Редирект на https происходит, страница портала не открывается. Превышено время ожидания. Уже не знаю куда копать...
 

dimacbz

Moderator
16 Июн 2014
1.474
237
75
Прочитайте внимательно по ссылкам. Возможно вам нужно настроить Hairpin nat, т.к. происходит редирект из вашей локальной сети через нат в вашу же локальную сеть. Возможно не открыты некоторые порты (8843, 8880, 8080).

Пропингуйте из вашей же локальной сети ваше доменное имя с https + нужный порт, и тоже самое сделайте извне. Скорее всего вы получите из локальной сети ТАЙМАУТ, а извне все будет ОК.
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
39
Заработало, дело было в NAT, неправильно настроенный между двумя сетями для порта 8843. У гостевой сети своя под сеть у контролера своя. Огромное спасибо за правильно указанное направления! :) Теперь буду тестировать на разных устройствах. Сертификат работает, соединение показывает защищенным, промежуточные центры также подтягиваются.
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
39
Редиректа с https нет, но я не считаю это ошибкой или не доработкой так и должно быть. Современные устройства сами делают запрос на http и получают портал на https без лишних вопросов. Единственно не удобство если пользователь открывает сразу браузер и у него там была страница с https сайтом, то выйдет в таймаут,
 

dimacbz

Moderator
16 Июн 2014
1.474
237
75
Единственно не удобство если пользователь открывает сразу браузер и у него там была страница с https сайтом, то выйдет в таймаут,
И нельзя этого сделать, т.к. будет считаться MITM атакой. Cisco сумели побороть как-то, но стоит дорого оборудование.
 
Последнее редактирование: