Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Use CN to redirect - Unlock CRL and OCSP sites

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
mdeserventi



Registrato: 02/12/11 13:34
Messaggi: 18

MessaggioInviato: Ven Dic 02, 2011 1:38 pm    Oggetto: Use CN to redirect - Unlock CRL and OCSP sites Rispondi citando

Ho due problemini:

1) Non riesco ad utilizzare il mio certificato wildcard con l'opzione "Use CN to redirect". Gli utenti continuano ad autenticarsi all'ip di zeroshell restituendo ovviamente l'errore di certificato ssl.
2) Non so a cosa server l'opzione "Unlock CRL and OCSP sites" nella sezione CAPTIVE PORTAL.


Saluti e grazie in anticipo
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Dic 03, 2011 5:15 pm    Oggetto: Rispondi citando

Ciao,

"Use CN to redirect" utilizza l'hostname contenuto nel Subject del certificato per ricavare l'indirizzo del captive portal. In altre parole il CN deve contenere un FQDN la cui risoluzione del DNS dia l'indirizzo IP di Zeroshell. Sarebbe corretto che fosse l'IP della scheda di rete connessa alla rete su cui il captive portal agisce, tuttavia, poiche' e' attivo il routing basta che sia l'IP di una qualsiasi interfaccia di Zeroshell, anche quella WAN. E' chiaro allora che, siccome si deve poter effettuare la conversione in IP, il Common Name non dovrebbe contenere * cosi' come avviene nei certificati Wildcard.
Probabilmente pero' (la cosa e' da verificare), il DNS tratta il carattere * come qualsiasi altro carattere e pertanto se ho il controllo della risoluzione per il dominio indicato nel certificato posso sempre inserire una entry del tipo*.example.com che punti all'IP del captive portal.

Per quel che riguarda invece la voce "Unlock CRL and OCSP sites" conviene tenerla abilitata per evitare che gli utenti debbano aspettare troppo tempo prima che siano rediretti verso il portale di autenticazione. Infatti, la maggior parte dei browser (Firefox lo fa ormai per default), correttamente, controllano che il certificato non sia stato revocato consultando via web la CRL o il server OCSP. Ma poiche' non si e' ancora autenticati, il browser non riesce ad accedere a tali siti portando a delle grosse latenze. Abilitando "Unlock CRL and OCSP sites" i siti elencati nelle CA che firmano il certificato del captive portal vengono preventivamente sbloccati.


Saluti
Fulvio
Top
Profilo Invia messaggio privato
mdeserventi



Registrato: 02/12/11 13:34
Messaggi: 18

MessaggioInviato: Ven Dic 09, 2011 12:42 pm    Oggetto: Rispondi citando

Ho inserito la macchina *.dominio.it --> ip address nel nostro dns ed ora con use CN funziona tutto.

Grazie mille e saluti
Top
Profilo Invia messaggio privato
mdeserventi



Registrato: 02/12/11 13:34
Messaggi: 18

MessaggioInviato: Ven Dic 09, 2011 2:14 pm    Oggetto: Rispondi citando

RETTIFICO.

Aggiungendo una voce *.dominio.it al dns si creano un sacco di problemi... Il dns rilancia tutti gli host verso l'indirizzo a cui punta il record "*.dominio.it".

A questo punto non si puo' forzare il CAPTIVE portal a reindirizzare i client ad un nome host specifico?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Dic 11, 2011 8:38 am    Oggetto: Rispondi citando

A questo punto e' evidente che * ha un significato speciale anche per il DNS. Hai provato a inserirlo come ultima entry? Comunque dalla prossima release inseriro una voce specifica verso cui reidirizzare i client.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it