Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 27 subscribers
  • Views 483 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WLAN Hotspot eigener Hostname mit HTTPS absichern

Marc Schrömges1

Hallo zusammen,

ich versuche derzeit krampfhaft bei der XGS für einen Hotspot, einen eigenen Hostnamen sowie ein Wildcardzertifikat hinzu zu fügen, jedoch bietet mir die Maschine keine Möglichkeit dazu. Da wir im Haus selbst keine AP's von Sophos mehr einsetzten, sondern alles auf Unifi AP's umgestellt haben, laufen die WLAN Netze auf separaten VLAN's. Ich habe nun dem WLAN A einen Hotspot zugewiesen. Über die IP Adresse der XGS funktioniert der Aufruf des Portals, wie es soll. Nun wollte ich der XGS für das Portal einen eigenen Hostnamen zuweisen. Ich habe in der DNS Konfiguration den Hostnamen definiert und in den Voucher-Einstellungen, weiterleiten zu HTTPS mit dem Hostnamen der XGS eingestellt. Das funktioniert auch soweit, jedoch erhalte ich einen Zertifikatsfehler, da das verwendete Zertifikat, das von selbstgenerierte Zertifikat der Appliance ist. Ich finde leider nur nirgends die Möglichkeit dieses Zertifikat auszutauschen gegen ein Wildcardzertifikat. 



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to LHerzog

    Ja das habe ich, jedoch soll für das Hotspotportal ein anderer Hostname verwendet werden als der Hostname der XGS selbst, da der Hostname der XGS an die Firewall und das interne Netzwerk gebunden ist. 

  • 0 in reply to Marc Schrömges1

    klappt denn jetzt die Sache mit dem Zertifikat? So sollte es ja passen, mit den wildcard Cert.

    lässt sich die custom DNS hotspot.domain.de URL aus dem WiFi heraus aufrufen? Kann ja nur klappen, wenn die Clients dort die XGS als DNS Resolver verwenden und in Administration / Deviceaccess der entsprechende Haken für die Zone gesetzt ist.

  • 0 in reply to LHerzog

    Nein leider funktioniert das so nicht. Die XGS dient in dem VLAN als Gateway und DNS Resolver, daher funktioniert der Aufruf hotspot.example.de auch ohne Probleme jedoch wird dort weiterhin das selfsigned Certificate der XGS verwendet. 

  • 0 in reply to Marc Schrömges1

    ich habe den Eindruck, dass der Aufruf der Seite durch den Webproxy oder IPS Filter der XGS geht und du das Decryption Zertifikat, nicht das des Hotspot/Userportal siehst. Kannst du sicherstellen, dass das nicht so ist? was sagen die Webfilter und TLS Logs der XGS wenn die Seite aufgerufen wird?

    Andere Frage, wird das Userportal aus dem LAN mit dem richtigen Wildcard Zertifikat angezeigt?

  • 0 in reply to LHerzog

    Ich hatte den Eindruck auch, jedoch spucken die Logs keine auffälligen Werte aus. Es ist auch tatsächlich das Webfilterzertifikat welches dort angesprochen wird, jedoch finde ich dazu keine Begründung. Im VLAN DHCP ist als Gateway die XGS mit der entsprechenden IP eingetragen, als Primärer DNS Server dient hier auch die XGS mit der VLAN Schnittstellen IP. Der Hostname Hotspot.example.de wird auch korrekt aufgelöst. 

    Ja beim Aufruf des Admin oder Userportals aus dem Standard-LAN wird das Wildcard-Zertifikat richtig verwendet. 

    Ich muss auch sagen das ich mittlerweile ziemlich enttäuscht bin was die XG/XGS Systeme angeht. Ich nutzte seit Jahren die UTM und war dort in den meisten Fällen immer sehr glücklich mit. Seit der Umstellung auf die XGS fallen mir immer mehr Dinge auf, die Sophos entweder gar nicht erst aus der UTM übernommen hat oder einfach nur extrem verschlechtert hat. Bei der UTM war das Szenario recht einfach gelöst. Man hat den Hostnamen angegeben, darunter das zu verwendende Zertifikat ausgewählt. Fertig, funktioniert. 

  • 0 in reply to Marc Schrömges1

    dann trage doch bitte mal die URL von der Seite hier:

    als SSL Exception

    im Webfilter ein und den FQDN auch in der URL Gruppe
    Local TLS exclusion list

    im Bereich Webfilter.

    Dann sollte das eigentlich nicht mehr passieren.

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?