4.13. Настройка HTTPS для Captive-портала

По умолчанию, согласно UserGate 6. Руководство администратора, для Captive-портала используется самоподписанный сертификат с common name «auth.captive». Этот сертификат не отображается в веб-консоли. Очевидно, что если просто активировать опцию HTTPS для страницы авторизации в настройках captive-профиля, то в результате отобразится предупреждение браузера о недоверенном сертификате и будет нарушена работа авторизации.

Чтобы использовать HTTPS для страницы авторизации пользователей, необходимо выполнить следующие действия.

  1. Указать служебный домен Auth captive-портала.

Перейдите во вкладку Настройки и в разделе UserGate --> Настройки --> Модули укажите Домен Auth captive-портала, который используется UserGate при авторизации пользователей через captive-портал.

image91

  1. Создать новый CSR.

В главной консоли перейдите в раздел UserGate --> Сертификаты, нажмите Создать и выберите Новый CSR. Укажите необходимые данные, а в поле Common name укажите имя домена Auth captive-портала, настроенного в пункте 1.

image92

  1. Скачать файл.

Для этого выделите созданный CSR и нажмите Экспорт --> Экспорт CSR.

  1. Подписать сертификат.

Для подписания сертификата используется веб-интерфейс центра сертификации Active Directory.

image93

Выберите Request a certificate --> submit an advanced certificate request. Скопируйте содержимое CSR-файла в поле Base-64-encoded certificate request. В качестве шаблона сертификата (Certificate Template) укажите Web Server и нажмите Submit.

image94

  1. Скачать сертификат и цепочку сертификатов в формате Base 64.

  2. Импортировать файлы в UserGate.

Во вкладке UserGate --> Сертификаты откройте созданный в пункте 2 CSR-запрос. Загрузите файлы сертификата и цепочки сертификатов и укажите роль сертификата SSL captive-портала.

image95

  1. Включить HTTPS для страницы авторизации.

Перейдите в раздел Пользователи и устройства --> Captive-профили. В свойствах профиля captive-портала во вкладке Общие отметьте чекбокс HTTPS для страницы авторизации.

image96

Проверка.

Браузер без проблем переходит на страницу авторизации и не возникает ошибок доверия к SSL-сертификату.

image97

Примечание

Браузер Firefox, по умолчанию, не доверяет сертификатам, подписанным корпоративным удостоверяющим центрам (СА).

Для настройки доверия, необходимо перейти по адресу about:config и включить опцию security.enterprise_roots.enabled.

image98

В результате Firefox также без проблем переходит на страницу авторизации и не возникает ошибок доверия к SSL-сертификату.

image99