Die Wireless Protection von Sophos UTM ermöglicht unter anderem die Einrichtung von Hotspots. Die verschiedenen Hotspot-Typen leiten dabei auf eine Anmeldeseite um. Die Anmeldeseite des Hotspots sollte dazu allerdings via HTTPS abgesichert werden.
Damit das realisiert werden kann, braucht man ein öffentliches, gültiges SSL-Zertifikat. In dieser Anleitung werde ich ein Lets Encrypt Zertifikat verwenden. Natürlich könnt Ihr Euch das auch bei einer anderen Zertifizierungsstelle beantragen. Eine Anleitung hierfür findet Ihr hier: Zertifikat public SSL für Sophos UTM einrichten.
Bevor Ihr ein SSL-Zertifikat beantragt, benötigt Ihr einen A-Record, der auf die öffentliche Adresse Eurer UTM zeigt. Man kann übrigens auch einen DNS-Alias verwenden, der auf eine dyndns-Adresse verweist.
Zertifikat beantragen
Ich habe mir den DNS-Eintrag hotspot.sult.eu bei meinem Domainhoster erstellt. Das Lets Encrypt Zertifikat kann man dann unter Webserver Protection -> Zertifikatsverwaltung -> Zertifikate beantragen:
Netzwerkdefinitionen erstellen
Während das Zertifikat abgerufen wird, legt Ihr Euch unter Definitionen & Benutzer -> Netzwerkdefinition zwei Objekte an. Einen DNS-Host und einen normalen Host wie unten aufgezeigt:
DNS-Host
Host
Beim Hostobjekt trät man die IP-Adresse der WLAN-Schnittstelle ein und den Hostnamen. Dadurch biegen wir den Eintrag hotspot.sult.eu in die lokale Gatewayadresse des WLAN-Netzes um. Das solltet Ihr auch mit nslookup prüfen können:
nslookup hotspot.sult.eu
Der DNS-Host wird später in der Weiterleitung der Hostspotkonfiguration verwendet. Er zeigt auf den Hostname hotspot.sult.eu.
HTTPS-Weiterleitung Hotspot
So langsam sollte Euch jetzt auch das beantragte Zertifikat zur Verfügung stehen. Unter Wireless Protection -> Hotspots -> Erweitert wählt Ihr es für die Anmeldeseite aus:
Zertifikat für Login-Seite
Jetzt lässt sich der Hotspot bei Wireless Protection -> Hotspots -> Hotspots mit HTTPS Weiterleitung einrichten.
Beispiel Hotspot
Damit ist die Konfiguration abgeschlossen. Solltet Ihr weiter Fragen haben, dann hinterlasst einen Kommentar oder schreibt mir eine E-Mail.
WLAN-Blau? Ist das für ne Kneipe/Bar?
Hehe, mit Nutzungsbedingung erst ab 2 Promille..
Nee, Spaß beiseite. Die Bezeichnung kommt noch aus IP-COP-Zeiten.
Mal ne doofe Frage! Wenn Du den Hostnamen wie Du schreibst umbiegst, wird das Let´s Encrypt Zertifikat dann noch erneuert? Das läuft doch dann auf einen Fehler, oder nicht?
Moin,
danke für Deinen Kommentar. Ich vermute, was Du meinst. Die Zertifikatsanfrage wird auf dem WAN-Interface ausgeführt. Letsencrypt prüft anhand des öffentlichen DNS-Eintrages, nicht anhand des DNS-Objektes auf der UTM. Frage beantwortet?