Captive Portal: https login ohne Zertifikatserror



  • Hallo,

    ich habe vor mit Pfsense 2.2 ein Captive Portal mit https login zu betreiben. Mit dem generierten Zertifikat von Pfsense funktioniert der Login über https einwandfrei, doch leider bekommt man einen Zertifikatserror.

    Wir sind Inhaber eines Wildcardzertifikats von *.unseredomain.com. Kann ich die Fehlermeldung durch einspielen des Wildcardzert beheben?
    Danke.



  • Wichtig ist immer das der Browser den Webserver über den FQDN erreicht nur dann kann er sagen ja das Wildcardzertifikats von *.unseredomain.com passt.

    Wenn du es also schaffst (per DNS Forwarder oder was auch immer dein DNS Server ist) das z.B. pfsense.unseredomain.com auf die pfSense verweißt und da dein Captive Portal ist sollte der Browser das Zertifikat auch als gültig anerkennen. Kann aber sein das du auf die PfSene auch noch das CA Zertifikat packen musst. Sollte aber dabei sein wenn ihr ein Zertifikat gekauft habt.

    Captive Portal ist ja auch nur ein Webserver



  • Danke.
    Der Pfsense-Server heißt wlan.unseredomain.com
    Die Clients lösen den Namen wlan.unseredomain.com richtig auf (Ip von Pfsense).
    Der HTTPS Server Name (unter Captive Portal) ist ebenfalls wlan.unseredomain.com
    Unter SSL Certificate muss ich das Zertifikat *.unseredomain.com auswählen, das ich zuvor eingespielt habe.
    Ist das soweit richtig?

    Stimmt es, dass es mit dem Captive Portal Probleme mit https-Seiten gibt?

    Danke nochmals.



  • Genau das sollte klappen wenn du das Zertifikat da einspielst und dann für das CP auswählst.

    Ob es da Probleme gibt kann ich nicht sagen dafür nutze ich es zu wenig



  • Danke.
    In die Pfsense habe ich unser Wildcardzertifikat *unseredomain.com eingespielt und zusätzlich die Namensauflösung für die Clients angepasst.
    Die Clients lösen den Namen wlan.unseredomain.com auf die richtige IP (interne, private IP der Pfsense) auf.
    Das Zertifikat wurde scheinbar richtig installiert. Zumindest wird der Cname und die Gütigkeitsdauer des Zertifikats richtig angezeigt. Was mich stutzig macht, ist, dass unter  Pfsense neben dem Zert. das Feld "Server: No" angezeigt wird, obwohl es angeblich ein Server Zertifikat ist.

    Trotz der funktionierenden Namensauflösung bekomme ich die Zertifakatsfehlermeldung bei Clients (Egal, welcher Browser).

    Habe ich etwas übersehen? Es müsst doch so funktionieren?



  • Server no steht bei mir auch das sollte nix machen.

    Wird denn im Browser dann das richtige Zertifikat angeboten?
    Am besten sieht man das ja im Firefox wenn man Links neben der Adresse auf das Schloss klickt und dann unter weitere Informationen sich das Zertifikat anzeigen lässt.
    Am besten auch mal Cache im Browser löschen.

    Ansonsten kann es wie gesagt auch sein das du das CA Zertifikat mit in das Server Zertifikat kopieren musst.
    Einfach mal testen.


  • Rebel Alliance Moderator

    Server no

    "Server" ist ein Flag, welches im x509 Zertifikat selbst vermerkt ist. Damit wird eigentlich nur signalisiert, ob das Zertifikat für Client/Server oder CA Betrieb ausgestellt wurde. Für HTTPS ist das meines Wissens recht irrelevant, es bekommt allerdings Bedeutung bei bspw. VPN Diensten. Hier kann der VPN Server prüfen, ob sein Zertifikat ein Server Cert ist und ob sich User mit Client Certs anmelden. Mehr sollte das aber nicht ausmachen.

    Trotz der funktionierenden Namensauflösung bekomme ich die Zertifakatsfehlermeldung bei Clients (Egal, welcher Browser).

    Welcher Art? Nur weil ein Fehler kommt, muss es ja nicht der Selbe sein wie vorher. Es kann auch sein, dass das Intermediate Cert fehlt und damit die CA Kette unterbrochen ist. Einfach mal nachsehen, was der Fehler besagt.

    Grüße


Log in to reply