Guest Control - добавить SSL сертификат | Ubiquiti форум UBNT: инструкции, настройка

Guest Control - добавить SSL сертификат

LAMER83

новичок
19 Мар 2019
6
0
3
38
Добрый день. Добавил SSL-сертификат в файл «keystore», подправил локальную зону DNS, теперь при входе https://internet.mydomain.ru:8443/ все нормально сертификат действительный ошибок нет, все красиво. Как сделать чтобы при перенаправлении пользователей на «Hotspot (стандартный)» адрес был не вида http://192.168.x.x:8880/guest/, а https://internet.mydomain.ru:8880/guest/ и как привязать SSLк гостевому порталу? Серверная часть установлена на Windows
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
38
По порядку:
1. Статический IP есть
2. Под домен есть и работает, настройки DNS произведены корректно т.к. по ссылке https://internet.mydomain.ru:8443/ панель управления открывается и работает.
3. "Далее в настройках прописать ваш поддомен" - не понятно в каких настройках ...
4. По ssh подключался и прописал set-inform http://internet.mydomain.ru:8080/inform
4.1. по команде info вижу: Status: Connected (http://internet.mydomain.ru:8080/inform)
5. Еще: Settings>Guest Control --- 'Portal URL Hostname' - данное поле не нашел. Версия контролера 5.10.19.0
Служба пере запущена, устройство перезагружено в гостевом портале также http://192.168.x.x:8880/guest/
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
38
Установил галочку в поле Redirect using hostname и прописал значение http://internet.mydomain.ru, в гостевом портале стало нормально отображаться доменное имя. Но я хочу что-бы редирект был на https при установке опции "Use Secure Portal" переадресации не происходит порт 8843 открыт
 

dimacbz

WiFi-SMS.com
16 Июн 2014
1.415
220
75
wifi-sms.com
Несколько рекомендаций:

  • установите сертификат SSL вместе с промежуточными сертификатами, иначе клиенты не смогут проверить сертификат
  • Используйте этот инструмент для проверки полной цепочки сертификатов:
  • https://www.geocerts.com/ssl-checker
  • Указывайте адрес через https
Также обязательно включите эти параметры:

Использовать безопасный портал
Redirect с использованием имени хоста

Лучше оставить параметр Включить перенаправление HTTPS отключенным.

В этой теме на 2-ой странице есть решение, почитайте внимательно.

https://community.ubnt.com/t5/UniFi-Wireless/Captive-portal-https-certificate-error/td-p/1517144/page/2

Еще одна развернутая тема:
https://community.ubnt.com/t5/UniFi-Wireless/HOWTO-Install-Signed-SSL-Certificate-on-Cloudkey-and-use-for/m-p/1977049#M235383
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
38
Редирект на https происходит, страница портала не открывается. Превышено время ожидания. Уже не знаю куда копать...
 

dimacbz

WiFi-SMS.com
16 Июн 2014
1.415
220
75
wifi-sms.com
Прочитайте внимательно по ссылкам. Возможно вам нужно настроить Hairpin nat, т.к. происходит редирект из вашей локальной сети через нат в вашу же локальную сеть. Возможно не открыты некоторые порты (8843, 8880, 8080).

Пропингуйте из вашей же локальной сети ваше доменное имя с https + нужный порт, и тоже самое сделайте извне. Скорее всего вы получите из локальной сети ТАЙМАУТ, а извне все будет ОК.
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
38
Заработало, дело было в NAT, неправильно настроенный между двумя сетями для порта 8843. У гостевой сети своя под сеть у контролера своя. Огромное спасибо за правильно указанное направления! :) Теперь буду тестировать на разных устройствах. Сертификат работает, соединение показывает защищенным, промежуточные центры также подтягиваются.
 
Автор
L

LAMER83

новичок
19 Мар 2019
6
0
3
38
Редиректа с https нет, но я не считаю это ошибкой или не доработкой так и должно быть. Современные устройства сами делают запрос на http и получают портал на https без лишних вопросов. Единственно не удобство если пользователь открывает сразу браузер и у него там была страница с https сайтом, то выйдет в таймаут,
 

dimacbz

WiFi-SMS.com
16 Июн 2014
1.415
220
75
wifi-sms.com
Единственно не удобство если пользователь открывает сразу браузер и у него там была страница с https сайтом, то выйдет в таймаут,
И нельзя этого сделать, т.к. будет считаться MITM атакой. Cisco сумели побороть как-то, но стоит дорого оборудование.
 
Последнее редактирование: