Public Spot: SSL-Zertifikat

[Klaus.muc]

Hallo zusammen,

für die Public-Spot Option kann ein SSL-Zertifikat eingerichtet werden um die unschöne Meldung über "Zertifikatprobleme" zu vermeiden.
Den Zugriff mit HTTPS möchte ich beibehalten.
Unklar - und in keiner Dokumentation beschrieben - sind zwei Dinge:

• 1. Auf welche URL muss das SSL-Zertifikat ausgestellt werden? Kann das irgendwas sein, z.B. nach dem Schema "hotspot.meinedomaene.de"? (Für "meinedomaene.de" meine ich den offiziellen, nach außen sichtbaren, Domänennamen, da andernfalls die CA's mit dem Signierungsprozess Probleme haben können.
  
  2. Der LANCOM-AP/Router (hier L-452agn) kann keinen CSR (Certifikate Signing Request) erstellen. Das Zertifikat ist bekanntlich ein Client-Zertifikat, die signierende CA muss eine CA sein, deren Stammzertifikat in möglichst vielen Web-Browsern bereits installiert ist (sonst gibt's wieder eine Warnung). Bedeutet das, das hier ein beliebiges Verfahren zulässig ist? SSL-Zertifikate sind scheinbar für bestimmte Server-Software ausgestellt (warum ist mir nicht ganz klar, das Format ist doch eigentlich Standard ...) aber welchen Web Server der Lancom eingebaut hat, das habe ich noch nicht gefunden.

Ich stehe einigermaßen auf der Leitung. Eine haus-interne CA habe ich, das Verfahren ist bekannt, nur ist der Lancom (für mich) ein Sonderfall.

Danke für jeden Hinweis.

Gruß, Klaus

[alf29]

Moin,

1. Auf welche URL muss das SSL-Zertifikat ausgestellt werden? Kann das irgendwas sein, z.B. nach dem Schema "hotspot.meinedomaene.de"? (Für "meinedomaene.de" meine ich den offiziellen, nach außen sichtbaren, Domänennamen, da andernfalls die CA's mit dem Signierungsprozess Probleme haben können.

Letzten Endes muß das der Hostname sein, unter dem die Clients das LANCOM, auf dem die Public-Spot-Option läuft, erreichen. Üblicherweise trägt man diesen Namen dann unter Setup/Public-Spot/Device-Hostname ein, der wird dann passend in die Links der Login-Seite eingesetzt.

Bedeutet das, das hier ein beliebiges Verfahren zulässig ist? SSL-Zertifikate sind scheinbar für bestimmte Server-Software ausgestellt (warum ist mir nicht ganz klar, das Format ist doch eigentlich Standard ...) aber welchen Web Server der Lancom eingebaut hat, das habe ich noch nicht gefunden.

Das ist kein 'Standard-Server' a la Apache, das ist ein Stück Software, das explizit fürs LCOS geschrieben wurde. Wieso Zertifikate extra für eine bestimmte Server-Software ausgestellt werden müssen, weiß ich auch nicht. In vergleichbaren Fällen habe ich die PKCS#12-Dateien einfach mit XCA erstellt.

Gruß Alfred

[Klaus.muc]

Alfred

Danke, jetzt läuft das System!

"Hostname" war etwas irreführend in den Menüs - es muss der gesamte FQDN sein (d.h. hostname und kompletter Domain Name), sonst hat es nicht funktioniert. Die Eingabe im WebConfig ist aus unerfindlichen Gründen auf 31 Zeichen begrenzt. Bei uns hat der Domainname 20 Zeichen plus "." + 3 als Präfix für die interne Domäne + "." , da bleibt nicht viel für den Hostnamen. Mit einem etwas kryptischen Hostnamen geht's jetzt. (Direkt im Lcos Menübaum sind für den Hostnamen auch max. 31 Zeichen zugelassen.)

Zusätzlich war die DNS-Auflösung notwendig, einzurichten unter den IP4-Netzen, Stationsnamen - auch hier mit komplettem FQDN. Der verweist auf die ursprüngliche IP des AP im Domänennetz, da nur über diese der Public Spot mit seinen Seiten ansprechbar ist.

Blockiert hatte ich mich dann noch mit der Firewall: Es gibt 2 Netze, um den Public Spot Zugang separat zu halten. Der Zugriff vom Gast-Netz (komplett anderer IP-Adressbereich, dabei DHCP und DNS auf dem AP eingerichtet) zum Domänennetz soll nicht möglich sein, daher VLANs und Firewall. Der VDSL-Router liegt aber mit seiner Adresse im Domänennetz, auch der AP hat zwangsläufig seine Ursprungs-IP-Adresse im Domänennetz. Für die IP des AP war daher eine Ausnahme in der Firewall notwendig (DNS für Anfragen vom AP durchlassen), sonst hat er die Public Spot Seiten nicht erreicht.

Möglicherweise geht das auch anders/besser, aber es läuft wie gewünscht: Beide Netze sind sauber getrennt, der Public Spot erfüllt seinen Zweck.
(Anmerkung: So richtig "Public" wird das bei uns nicht laufen, es ist intern, für Geschäftsbesuch, der seine eMails abholen möchte und für diverse Präsentationen und Tests in Besprechungen. Aus Sicherheitsgründen und für einfaches Handling ist die Public Spot Option hier bestens geeignet.)

Zum Thema "SSL": Ja, natürlich, XCA, hatte ich bereits für selbst signierte Zertifikate verwendet. Geht auch mit OpenSSL, dann die CSR einreichen und ein offizielles Server-Zertifikat einkaufen. Da hatte ich zuerst in die falsche Richtung gedackt (sorry).

Gruß Klaus

[Klaus.muc]

Nachtrag:

Ein SSL-Zertifikat habe ich jetzt. Installation (SSL, Key, Intermediate CA) war erfolgreich.
Public Spot auf "HTTPS" Zugriff eingestellt.

Problem:

Bei Aufruf des Web-Browsers (gleichgültig welche OS-Plattform) wird die 1. Seite - für Eingabe von Benutzername und Passwort - nur mit HTTP aufgerufen. Jede Folgeseite (Login-Bestätigung, Abmeldung sowie Session-Info) hat dann korrekt HTTPS-Zugriff.

Ich war der Meinung dass HTTPS speziell für die Login-Page relevant sei?
Bisher verwende ich die eingebauten Seiten. Der Zugriff HTTP/HTTPS kann für den Public Spot nur global konfiguriert werden.

Ein Bug im Public Spot? Kennt jemand zumindest einen Work Around?

EDIT: HTTPS (bzw. Verschlüsselung) funktioniert doch für die Anmeldung Ich habe mir den Quellcode der Seite (nach Aufruf, im Browser) mal angesehen: Die Anmeldeseite selbst wird nicht per HTTPS aufgerufen, aber es ist ein "Formular" enthalten (für die Anmeldedaten) und der POST command des Forms geht dann über Port 443 zurück - verschlüsselt, nur für den Benutzer nicht sichtbar (kein Symbol im Browser).
Also kein Bug, sondern ein Feature

Danke und Gruß, Klaus