Free SSL tanusítvány Cisco router Guest hálózathoz

Security-all

Sziasztok!

Segítsetek nekem. :)
Szeretnék egy helyre Guest netet varázsolni, Cisco RV110W router eszközön. A konfig kész, másik VLAN, stb.. Működik.
Viszont kellene hozzá SSL tanusítvány, mert a Guest portálhoz csatlakozáskor panaszkodik az önaláírt tanusítványon...
Sajnos most már a mobilon a guest portál sem jön be, eddig rá tudtam kattintani, hogy figyelmen kívül hagyom.

Megoldható -e hogy készítsek egy free ssl tanusítványt a routerhez domain nélkül? Esetleg NoIP dns névhez?

Köszönöm!!!

  • 801 megtekintés

( freeoli v | 2019. 06. 27., cs – 08:34 )

Lets encrypit tökéletes hozzá,de a kiállításhoz valós dns cím is kell és három havonta ismételni. Ha működik, akkor talán lehet egy hosszabb lejáratút is venni hozzá.

Fontos, hogy a dns szerver fel legyen rá készítve, hogy ugyanaz a publikus név helyi címre legyen feloldva.

> Megoldható -e hogy készítsek egy free ssl tanusítványt a routerhez domain nélkül?
Nem. (domain mindenképpen kell)

> Esetleg NoIP dns névhez?

Az működhet mondjuk letsencrypttel. Mindenképp olyan no-ipt válassz, ami rajta van a https://publicsuffix.org/list/ listán.

> Ez egy nyilvános kávézó. Nincs DNS szerver, sem helyi fix IP. :(

Hát, elnézegetve az eszköz admin guideját ez kihívásokkal teli lesz.

0.
A letsencrypt úgy működik, hogy verifikálja, hogy tudod-e adminisztrálni a domaint, amihez certet szeretnél. Vagy megkér, hogy a webserverre helyezz el egy bizonyos filet, vagy, hogy a dns zónába írj be egy bizonyos TXT recordot. Ez utóbbi no-ipnél gondolom esélytelen, a webserveres mókát viszont el lehet játszani, ezt nem is feltétlenül az eszközön, megcsinálod akárhol, aztán átteszed a certet az eszközre.

Utána már csak annyi a feladat, hogy a router:
1) az akármi.no-ip.com-ot a guest portál IP címére oldja fel. (Ez az az emlegetett helyi fix-ip)
2) A guest portált azzal a certificattel szolgálja ki, amit generáltál.

Ebből a doksiaja (3 perces megnézése alapján, szóval nem biztos) csak az 1. és a 2. pontot nem lehet konfigurálni.

Ráadásul ezt a táncot el kéne játszani három havonta.

Én lehet, megkérdezném azért a ciscot, hogy milyen megoldásra gondoltak így 2019ben, hogy emberek ne lássanak security warningot egy guest network landing pagen.

"Én lehet, megkérdezném azért a ciscot, hogy milyen megoldásra gondoltak így 2019ben, hogy emberek ne lássanak security warningot egy guest network landing pagen."

Ez minden nem Cisco eszközön is csak így lehet a tanúsítás felépítése miatt. Igaz, biztos lehetne valamilyen megoldást találni, de az több gondot okozhatna, de legalább annyit, hogy a guest portál local címe folyamosan be lenne jegyezve egy publikus DNS kiszolgálól amit meg esélyesen nem vesz át a helyi szolgáltató vagyis meg kell oldani valahogy az általad is írt módon.

Ami kell.

1. DNS ami a guest IP-re mutat.
2. Egy publikus super valid root-hoz visszavezethető cert ami a címre szól.

Cisconál arra gondoltam, hogy az eszköz (ami láthatólag ilyen strandalone small office lófasznak van szánva), ami tud kiszolgálni guest portált admin guidejában, sem arra nem láttam lehetőséget, hogy kiválasszam, milyen certtel szolgálja ki a guest portált, sem arra, hogy beleírjak valami dns recordot, amit ő szolgál ki.

Úgy meg nehéz akármit is csinálni :)

(egyébként csak a keveredés elekrülése végett, nem a címre szól, hanem a dnsre)

Először is Köszönöm a részletes válaszod! :)
Nem vagyok annyira expert a témában.
Szóval az otthoni gépemen is meg lehetne csinálni a cert-et?
A webszereres mókát nem igazán értem... :(

"Mindenképp olyan no-ipt válassz, ami rajta van a https://publicsuffix.org/list/ listán."
Ezt hogy érted? :)

Egy kis bonyolítás, a Cisco statikus IP címmel van megoldva, mert egy másik router alhálózata lett.. :)
De gondolom attól még a noip betalálhat... Remélem... :)

Hát igen.. Három havonta... Ha rutin és hamar megy, talán nem gond egy darabig. Nem a pénzről van szó, de ez még tesztüzem, addig nem szeretnék anyagilag bármit is ráfordítani.

> Szóval az otthoni gépemen is meg lehetne csinálni a cert-et?

Meg. A folyamat kb a következő
[Te] - Szeretnék egy certificatet az example.no-ip.com-ra
[Letsencrypt] - Légyszíves helyezd el blablabla nevű filet a http://example.no-ip.com/.well-known/acme-challenge/blablabla alatt a megadott tartalommal
[Te] Beállítod, hogy az example.no-ip.com akármilyen http kiszolgálóra mutasson, ahol el tudod helyezni azt a filet
[Letsencrypt] Megnézni ott van-e, ha igen, ad egy 3 hónapig érvényes certet

Ezen a ponton a certet oda viszed, ahova akarod.

> Ezt hogy érted? :)

TL;DR - ha nincs rajta a listán, a letsencrypt nem fog certet adni.

A letsencrypt domainenként limitálja a kiadható certek számát, subdomain included, talán 20ra, vagy ilyes. Ha olyan domain választasz, ami nincs raja a listán (és a no-ip.com pl nincs, csak egy rakás választható domainjük), akkor csak kevés akarmi.no-ip.com, barmi.no-ip.com ot fog kiadni. Ha rajta van, akkor a limit egyel lejjebb kerül.

> De gondolom attól még a noip betalálhat... Remélem... :)

Nem kell neki. A következőnek kellene történni:

- emberünk felcsattan a wifire, és megnyitja a landing paget
- a landing page urljének https://example.no-ip.com/ittmártökmindegy-nek kell lennie
- A wifi által szolgáltatott DNSnek (ami ugye tipikusan a router) azt kell hirdetnie, hogy az example.no-ip.com az a router azon belső ipjére mutat, ami kiszolgálja a portal paget. Ez ugye valami privát cím.
- A routernek az előzőekben kapott certtel kell kiszolgálni a portal paget, és nem szabad neki megsértődni, hogy nem https://ip-cím van az elején.

Ehhez nem kell a no-ipnek "beálátni", mert semmi nem akar beszélgetni a portal paggel kintről.

( mauzi v | 2019. 06. 27., cs – 09:13 )

- domaint - ha még nincs - fillérekért tudsz venni,
- domain validált tanúsítványt bármilyen domainhez/hosztnévhez tudsz venni,
- a tanúsítványban szereplő hosztnévhez nem kell fix IP cím, dinamikus DNS tökéletesen megfelel.

Tudsz tanúsítványt igényelni NoIP-s hosztnévhez is, de tényleg, legyen már hozzá egy saját domain... Egy .hu-s domain éves fenntartása kb. 2.000 Ft körül van.