---

Jeg vil gerne lave et gæstenetværk der fungerer som et hotspot. Altså
gæsterne får en kode og logger sig på vha en login side ligesom feks
TDC's hotspot.

Til det formål har jeg opsat en firewall med pfSense og konfigget dens
Captive Firewall, og alt virker bare fint. Men men men....

Hvis loginsiden skal være over https skal der installeres et SSL
certifikat. Dertil har jeg anskaffet et fra TDC og lagt det på
pfSens'en. Men klienterne fejler og oplyser at certifikatet er udsted af
nogen der ikke er tillid til. Altså der mangler en certifikat kæde. Det
understøtter pfSense ikke efter gvad jeg googler mig til :(

Så her står jeg - hvad og hvordan gør andre mht. gæstenetværk - skal jeg
erstatte pfSense med noget andet - og til hvad?

Xpostet i dk.edb.netværk med followup i dk.edb.sikkerhed (er i hvert
fald hvad jeg gerne ville ha)

MvH

/andreas

---

On Thu, 10 Jan 2008 15:28:14 +0100, Andreas Lorensen wrote:

> Hvis loginsiden skal være over https skal der installeres et SSL
> certifikat.

Korrekt.

> Dertil har jeg anskaffet et fra TDC og lagt det på pfSens'en.
> Men klienterne fejler og oplyser at certifikatet er udsted af nogen der
> ikke er tillid til. Altså der mangler en certifikat kæde. Det understøtter
> pfSense ikke efter gvad jeg googler mig til :(

Det har ikke noget noget med pfSense at gøre.

Den melding kommer fra browseren, som åbenbart ikke har tillid til TDCs
certifikater.


> Så her står jeg - hvad og hvordan gør andre mht. gæstenetværk - skal jeg
> erstatte pfSense med noget andet - og til hvad?

Det vil ikke nødvendigvis hjælpe.

Problemet er muligvis, at den side hvor brugerne skal indtaste login-info,
SKAL være på cetifikatet domæne, ellers vil du også få en fejl.

/Henning

---

"Andreas Lorensen" <andlo@fita.dk> skrev...
> Til det formål har jeg opsat en firewall med pfSense og konfigget dens
> Captive Firewall, og alt virker bare fint. Men men men....
>
> Hvis loginsiden skal være over https skal der installeres et SSL
> certifikat. Dertil har jeg anskaffet et fra TDC og lagt det på
> pfSens'en. Men klienterne fejler og oplyser at certifikatet er udsted af
> nogen der ikke er tillid til. Altså der mangler en certifikat kæde. Det
> understøtter pfSense ikke efter gvad jeg googler mig til :(

Gætter at du købt ala guest.company.dk eller lignende som certifikat. Altså
skal brugernes browser også se denne adresse i deres browser når du hijacker
dem. Og ikke fx 192.168.1.1 Hvad ser de hos dig?

Hvis de kommer til den rigtige side, guest.company.dk, hvad viser
certifikatet så? Kun dit hostnavn og intet andet? Altså ingen kæde?

Har set på diverse bokse, at du skal lægge de øvre certifikater ind på
boksen og derved lave hele kæden direkte på boksen, før den præsenterer
kæden for brugeren. Men det er ikke muligt med pfSense eller..? (Kender ikke
pfSense)

/Stoltze

---

tor, 10 01 2008 kl. 20:26 +0100, skrev Henning Wangerin:

> > Dertil har jeg anskaffet et fra TDC og lagt det på pfSens'en.
> > Men klienterne fejler og oplyser at certifikatet er udsted af nogen der
> > ikke er tillid til. Altså der mangler en certifikat kæde. Det understøtter
> > pfSense ikke efter gvad jeg googler mig til :(
>
> Det har ikke noget noget med pfSense at gøre.
>
> Den melding kommer fra browseren, som åbenbart ikke har tillid til TDCs
> certifikater.
>
Ja det forstår jeg også er tilfældet. Men den manglende tillid skyldes
vel at webserveren (pfsense) kun sender certifikatet og ikke hele
certifikatkæden.

> > Så her står jeg - hvad og hvordan gør andre mht. gæstenetværk - skal jeg
> > erstatte pfSense med noget andet - og til hvad?
>
> Det vil ikke nødvendigvis hjælpe.
>
> Problemet er muligvis, at den side hvor brugerne skal indtaste login-info,
> SKAL være på cetifikatet domæne, ellers vil du også få en fejl.
>
Jo - efter at have googlet rundt så kan jeg enten købe et certifikat
udstedt af en af rodcentrene - feks Verisign. Men Verisign oplyser at de
i løbet af i år også begynder at bruge kædet certifikater. Så det er jo
ikke den mest holdbare løsning.

Men jeg har fundet et glimrende alternativ, som faktisk ser ud til at
være lige det jeg leder efter.

ChilliSpot http://www.chillispot.info eller endnu bedre CoovaChilli
http://coova.org/wiki/index.php/CoovaChilli
Begge bygger på samme base, og er firewall'er netop beregnet til
opsætning af hotspots. Med radius syslog og alt det man gerne vil have.
Og deres webserver er en apache, og den har jeg styr på hvorkledes man
bruger kædet certifikater på.

MvH

/andreas

---

On Sun, 13 Jan 2008 01:36:44 +0100, Andreas Lorensen wrote:

>> Den melding kommer fra browseren, som åbenbart ikke har tillid til TDCs
>> certifikater.
>>
> Ja det forstår jeg også er tilfældet. Men den manglende tillid skyldes vel
> at webserveren (pfsense) kun sender certifikatet og ikke hele
> certifikatkæden.

Det er der ingen server der gør.

Fidusen er at dit certifikat er signeret af tdc, verisign eller hvem ved
jeg, og at din browser kan checke at informationerne i tdcs signatur er
korrekte ved at de allerede kender tdcs public-key.

>> Problemet er muligvis, at den side hvor brugerne skal indtaste
>> login-info, SKAL være på cetifikatet domæne, ellers vil du også få en
>> fejl.
>>
> Jo - efter at have googlet rundt så kan jeg enten købe et certifikat
> udstedt af en af rodcentrene - feks Verisign. Men Verisign oplyser at de
> i løbet af i år også begynder at bruge kædet certifikater. Så det er jo
> ikke den mest holdbare løsning.

Jo.

Problemet er at browseren ikke kan lave en kæde fra de root-certifikater
som er i din browser, til serverens certifikat.

/Henning

---

tor, 10 01 2008 kl. 22:55 +0100, skrev Niels Stoltze:

> Gætter at du købt ala guest.company.dk eller lignende som certifikat. Altså
> skal brugernes browser også se denne adresse i deres browser når du hijacker
> dem. Og ikke fx 192.168.1.1 Hvad ser de hos dig?
>
det gør de også - det er ikke det der er problemet

> Hvis de kommer til den rigtige side, guest.company.dk, hvad viser
> certifikatet så? Kun dit hostnavn og intet andet? Altså ingen kæde?
>
> Har set på diverse bokse, at du skal lægge de øvre certifikater ind på
> boksen og derved lave hele kæden direkte på boksen, før den præsenterer
> kæden for brugeren. Men det er ikke muligt med pfSense eller..? (Kender ikke
> pfSense)
>
Ja det er netop det - det er ikke muligt med pfsense - så en anden
løsning end pfsense er nok vejen frem.

MvH

/Andreas

---

søn, 13 01 2008 kl. 14:11 +0100, skrev Henning Wangerin:
> On Sun, 13 Jan 2008 01:36:44 +0100, Andreas Lorensen wrote:
>
> >> Den melding kommer fra browseren, som åbenbart ikke har tillid til TDCs
> >> certifikater.
> >>
> > Ja det forstår jeg også er tilfældet. Men den manglende tillid skyldes vel
> > at webserveren (pfsense) kun sender certifikatet og ikke hele
> > certifikatkæden.
>
> Det er der ingen server der gør.
>
> Fidusen er at dit certifikat er signeret af tdc, verisign eller hvem ved
> jeg, og at din browser kan checke at informationerne i tdcs signatur er
> korrekte ved at de allerede kender tdcs public-key.
>
Jeg må jo indrømme at jeg ikke helt forstår. Men hvis jeg på en apache
webserver installerer certifikatet og certifikatkæden, så har en klient
ikke problemer med atverificere certifikatet. Hvis jeg ikke installerer
cetifikat-kæden på serveren, så beklager klienten sig over manglende
tillid. klienten kan så selvfølgelig selv instalere certifikat-kæden
eller TDC's rod certifikat og give tillid hertil.

Desværre kan man ikke på en pfsence installere både certifikat og
certifikat-kæden på samme måde som man kan på feks en apache eller en
IIS.

> > Jo - efter at have googlet rundt så kan jeg enten købe et certifikat
> > udstedt af en af rodcentrene - feks Verisign. Men Verisign oplyser at de
> > i løbet af i år også begynder at bruge kædet certifikater. Så det er jo
> > ikke den mest holdbare løsning.
>
> Jo.
>
> Problemet er at browseren ikke kan lave en kæde fra de root-certifikater
> som er i din browser, til serverens certifikat.

Ja netop - og det kan browseren ikke hvis certifikat-kæden ikke er
installeret på serveren sådan som jeg ser og oplever det.

/andreas

---

On Sun, 13 Jan 2008 14:27:04 +0100, Andreas Lorensen wrote:

>> Problemet er at browseren ikke kan lave en kæde fra de root-certifikater
>> som er i din browser, til serverens certifikat.
>
> Ja netop - og det kan browseren ikke hvis certifikat-kæden ikke er
> installeret på serveren sådan som jeg ser og oplever det.

Dvs du normalt installerer alle de overliggende public-keys på serveren?

Root-certifikatet skal under alle omstændigheder være installeret i
serveren for at det virker, men resten giver egentlig mening.

- jeg har ikke prøvet at sætte en web-server op til https med officielle
certifikater, så jeg er ikke på hjemmebane

/Henning

---

søn, 13 01 2008 kl. 23:05 +0100, skrev Henning Wangerin:
> Dvs du normalt installerer alle de overliggende public-keys på serveren?
>
> Root-certifikatet skal under alle omstændigheder være installeret i
> serveren for at det virker, men resten giver egentlig mening.
>
> - jeg har ikke prøvet at sætte en web-server op til https med officielle
> certifikater, så jeg er ikke på hjemmebane
>

Jeg installerer ikke normalt webservere så jeg er heller ikke på
hjemmebane her ;). Men jo de par stykker der har været i mine hænder og
hvor der har været behov for certifikater har jeg installeret hele
kæden.

/andreas