Сравнение версий

Старая версия 15

changes.mady.by.user Отдел Документации

Сохранено

по сравнению с

Новая версия Текущий

changes.mady.by.user Отдел Документации

Сохранено

Ключ

  • Эта строка добавлена.
  • Эта строка удалена.
  • Изменено форматирование.

...

draw.io Diagram
bordertrue
diagramNameДиаграмма
simpleViewerfalse
width
linksauto
tbstyletop
lboxtrue
diagramWidth1133
revision1

Scroll Pagebreak

Пример страницы гостевого портала

...

Раскрыть
titleИспользование сертификатов для сокрытия передаваемых учетных данных (username, password), между клиентом и ТД

Для повышения безопасности передачи данных между клиентом и ТД необходимо обеспечить шифрование трафика с использованием SSL.

Для этого требуется:

  • SSL-сертификат (формат PEM);

  • Приватный ключ (формат PEM).

Предупреждение

На ТД возможно использовать RSA-сертификаты. ECDSA-сертификаты не поддержаны.

Для защиты приватного ключа в схеме с портальной авторизацией рекомендуется использовать пароль.

Стандартный процесс выпуска сертификатов не предусматривает автоматическое шифрование приватного ключа. Однако это можно выполнить вручную с помощью утилиты OpenSSL.

Команда для шифрования ключа:

Блок кода
languagebash
openssl rsa -aes256 -in private_key.pem -out private_key_encrypted.pem

Параметры:

  • -aes256 – алгоритм шифрования (можно заменить на -aes128 или -aes192);

  • -in private_key.pem – исходный незашифрованный ключ;

  • -out private_key_encrypted.pem – зашифрованный ключ.

После выполнения команды OpenSSL запросит пароль, который будет использоваться для защиты ключа.

Этот подход обеспечит дополнительный уровень защиты приватного ключа от несанкционированного доступа.

Подсказка

Данная процедура проводится вне процесса выпуска сертификата и является дополнительной мерой безопасности.

После шифрования ключа его необходимо добавить к сертификату, например через текстовый редактор. Файл сертификата с зашифрованным ключом должен иметь вид:

Блок кода
languagepy
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN ENCRYPTED PRIVATE KEY-----

-----END ENCRYPTED PRIVATE KEY-----

Загрузите файл сертификата с зашифрованным ключом на контроллер WLC в директорию crypto:cert/

Настройте проверку сертификата и включите режим HTTPs:

Блок кода
languagepy
wlc
  ap-profile default-ap
    captive-portal
      ap-ip-alias certificate_alias
      crypto cert certificate_encrypted.pem
      crypto private-key-password ascii-text password
      proxy-https
    exit

Перед применением конфигурации произойдёт проверка псевдонима сертификата и пароля зашифрованного ключа.

Допустимо использовать сертификат без зашифрованного ключа. В таком случае приватный ключ добавляется к сертификату. Настройка crypto private-key-password не требуется.

Scroll Pagebreak

Формат файла для сертификата без зашифрованного ключа:

Блок кода
languagepy
-----BEGIN CERTIFICATE-----

-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----

-----END PRIVATE KEY-----

Конфигурация:

Блок кода
languagepy
wlc
  ap-profile default-ap
    captive-portal
      ap-ip-alias certificate_alias
      crypto cert certificate.pem
      proxy-https
    exit

...

Данное правило проверяет наличие MAC-адреса в хранилище гостевых эндпоинтов. MAC-адрес попадает туда после того, как клиент идентифицировал себе на гостевом портале. Поэтому в настройках "Эндпоит" выберите пункт "Известен и валиден", а в "Результат" — "Allow (и проверять правила авторизации)". 

Image Modified

Создание правил авторизации

...