Certificat SSL pour authentification utilisateurs invités (externe)
-
Bonjour,
j'ai mis en place pfsense pour proposer un portail captif dans le but que les utilisateurs externes à l'entreprise puissent avoir un accès à internet.
On veut que le système soit totalement isolé du réseau d'entreprise.
C'est à dire que la gestion des utilisateurs se fait en local (pas d'active directory lié et donc pas de radius) et que l'on souhaite obtenir un certificat valide et sécurisé sans passer par un registraire de nom de domaine.
Tout doit rester en interne.Du coup ma question est la suivante : Comment je pourrais faire en sorte que les utilisateurs venant de l'extérieur puissent avoir, lorsqu'ils se connectent avec leurs pcs, une page de connexion avec un certificat sécurisé ?
Merci par avance
-
'On veut que le système soit totalement isolé du réseau d'entreprise.'
Ce ne sera pas le cas ! (Sauf à avoir une ligne Internet dédiée)
Avant de mettre en place le portail captif, il faut déjà qu'un micro connecté à l'interface choisie
- reçoive une adresse ip, un dns,
- accède à Internet (limiter les ports à HTTP et HTTPS)
- n'accède pas à votre réseau
Une fois cela parfaitement testé, vous pouvez activer la config Portail Captif.
Il y a trop longtemps que j'ai mis en oeuvre le Portail Captif de pfSense, donc j'ai des questions : de base fonctionne-t-il ? comment réagit-il si l'utilisateur commence par une page HTTP et une page HTTPS ? Renvoie-t-il vers une page HTTP même si on part avec une page HTTPS ?
(Perso : je pense indispensable d'utiliser obligatoirement un compte/mdp, valable 1 jour, à créer quand le visiteur le demande et en lui faisant un document où il s'engage à respecter une mini-charte d'utilisation. Mais c'est mon avis ...)
-
@jdh L'entreprise a justement une ligne internet dédié au portail captif (il y en avait déjà un avant). Tout est déjà configuré côté pfsense et côté client :
Le wifi "guest" renvoie l'utilisateur vers une page de connexion en https et avec le DNS (c'est le nom qui est affiché dans la barre de recherche et non l'IP du coup).Mais le seul problème c'est que l'utilisateur verra apparaitre la page d'une connexion non sécurisée et ca ne fait pas pro... C'est le seul paramètre qui me manque pour que le portail captif soit entièrement opérationnel.
J'ai quand même l'impression que je suis obligé de dépendre d'un registraire pour obtenir un certificat valide.
-
PfSense sait importer un certificat et l'affecter à son serveur = celui du Portail Captif.
Il reste à obtenir un certificat : des registrar en propose pour quelques dizaines d'euros pour 1 ou 2 an, restera à les importer tous les 1 ou 2 an.
-
@jdh Oui mais j'ai remarqué qu'il faut payer un nom de domaine car sinon le domaine ne sera pas reconnu par le registraire et je n'aurai pas mon certificat valide.
-
Oui, un domaine est nécessaire. (Puisque un certificat est lié à un sous domaine d'un domaine : domaine 'zorro.org', certificat pour 'wifi-guest.zorro.org')
-
This post is deleted! -
This post is deleted! -
@jdh Du coup j'ai acheté un domaine. Je n'ai aucun message d'erreur de Let's Encrypt, l'autorité de certification est bien crée, tout comme le certificat. Mais le problème c'est que mon certificat est toujours en non sécurisé malgré avoir fait les modifs sur le portail captif et sur l'interface pfsense. Il y a quelque chose à faire en particulier au niveau des ports pour que mon certificat soir enfin validé ?
-
@louis-d
Il est peut etre plus simple de paser par un controleur/concentrateur wifi qui propose le captive portal sur un vlan dédié, après tu geres les ports et autre sur le pfsense