HP MSM-WLAN: Anpassung des Captive Portals am Controller

Bei Wireless-LAN-Controllern der MSM-Serie von HP gibt es die Möglichkeit, für die Authentifizierung von Gästen ein sogenanntes Captive Portal anzulegen. Bei HP wird das Captive Portal http-Authentifizierung genannt.
Dabei wird der unauthentifizierte Nutzer, der über eine SSiD auf das Netzwerk zugreifen möchte, zwangsläufig auf eine http/s-Site geleitet und muss dort seine Credentials angeben. Diese können entweder – je nach Einrichtung – selbst angelegt oder z.B. von einem Mitarbeiter am Empfang ausgestellt werden. Beim Erstellen kann auch die Gültigkeitsdauer definiert werden. So kann der Zugriff zeitlich begrenzt und die vorhandene Infrastruktur ressourcenschonend genutzt werden. Außerdem gibt dies einen erheblichen Sicherheitsvorteil und mehr Transparenz im Netzwerk.
Damit bei Aufruf dieses Captive Portals keine Zertifikatswarnung erscheint, sollte das selbstsignierte Zertifikat für den internen Namen hp.wireless.internal durch ein öffentliches, von gängigen Browsern als vertrauenswürdig eingestuftes Zertifikat ersetzt werden.
Normalerweise muss ein DNS-Eintrag für ein entsprechendes Zertifikat angelegt werden. Da der DNS-Name allerdings nur innerhalb des WLAN-Controllers genutzt wird, besteht dafür extern keine Notwendigkeit. Doch wo ändert man nun den DNS-Namen dafür? 

Der Hostname ist ein anderer. Lässt man sich via CLI eine Konfiguration anzeigen (Achtung, vieeele Zeilen im Scrollback einstellen, die Konfiguration ist ziemlich lang!), taucht der DNS-Name hp.wireless.internal nirgends auf.
Braucht er auch nicht. Der Controller ändert den fiktiven DNS-Namen, sobald ein öffentliches Zertifikat (Achtung! Kein Wildcard!) hochgeladen und zugewiesen wurde. Dabei nimmt der Controller die Information für die neue Hotspot-URL aus dem Common Name des Zertifikates. Ist das verwendete Zertifikat ein Wildcard-Zertifikat, kommt es hier zu Problemen, da nur die Domain und die TLD angegeben werden, nicht aber der Hostname bzw. die Sub-Domäne des Servers. Es kann so keine eindeutige Zuordnung stattfinden.

Das verwendete Zertifikat muss mit privatem Schlüssel und Zertifikatskette (nicht CN+Intermediate-CA+Root-CA!) in folgendem Schema auf den Controller hochgeladen werden:

—Privater Schlüssel Anfang—
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
—- Privater Schlüssel Ende—-
——–Zertifikat Anfang——–
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxCN-Zertifikatxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
——— Zertifikat Ende———
——–Zertifikat Anfang——–
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxIntermediate-CAxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
——— Zertifikat Ende———

Zum Erstellen des privaten Schlüssels und der Chain kann z.B. OpenSSL genutzt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.