Ruckus Guest Portal Certificaat

Sinds kort vereisen meer browsers dat captive portals van gasten netwerken t.b.v. inloggen en/of accepteren van algemene voorwaarden voorzien moeten zijn van HTTPS samen met een vertrouwd SSL Certificaat. Om dit goed werkend te krijgen lijkt een grote klus, maar bij Ruckus (SmartZone en Unleashed) is het gelukkig vrij simpel!

Het belangrijkste wat je nodig hebt is een SSL Certificaat. Deze kan je bij uw voorkeurs SSL certificaat leverancier of andere gerenommeerde SSL certificaat leveranciers aanschaffen.

Standaard staat er op een Ruckus Unleashed of Ruckus SmartZone een automatisch gegenereerd SSL-certificaat met “scg.ruckuswireless.com” als domein.

Opbouw van het SSL certificaat

Als gasten verbinden met het gasten netwerk (waar captive portal op aan staat) op een Ruckus Access Point, worden deze clients doorverwezen naar een portaal. De URL van het portaal wordt bepaald aan de hand van de Common Name (CN) van het geïnstalleerde certificaat van de captive portal.
Keuze van de Common Name is vrij voor uw bedrijf. Als uw bedrijf de domeinnaam “voorbeeld.nl” gebruikt, kunt u ervoor kiezen om “wifi.voorbeeld.nl” of “guest.voorbeeld.nl” te nemen voor redirect URL van uw gasten netwerk. U hoeft niets aan te passen in uw interne- of externe DNS server, het onderscheppen van DNS aanvragen van Wi-Fi clients wordt automatisch afgehandeld door het Ruckus Access Point.

Site certificate, Intermediate CA en root CA

Voordat we gaan configureren, is het belangrijk om te weten wat voor certificaten er bestaan, en hoe deze in het systeem geprogrammeerd worden.

Wanneer U een certificaat koopt bij een SSL-Certificaat leverancier, wordt U voorzien van 2 of meer certificaten: minimaal 1 certificaat voor uw site, eventuele Intermediate CA(’s), en 1 root CA. Als u een aangeschaft certificaat in Windows opent en naar tabblad “Certificaat pad” gaat, ziet u al deze onderdelen in staan. In tekst staat naast het certificaat welke functie het desbetreffende certificaat in de ketting heeft.

Er zijn 2 opties van toevoegen van Certificaten aan Ruckus SmartZone/Unleashed: Via CSR (Certificate Sign Request) of het los uploaden van Certificaat + Private key.

De Private Key is de hoofdsleutel om het verkeer tussen client en server via SSL te versleutelen. Als deze Key bekend is bij een aanvaller, kan iemand het SSL-verkeer ontsleutelen. Het is belangrijk deze private key goed en veilig te bewaren.

Als je via een CSR een certificaat aanvraagt, blijft de private key op het (Ruckus) device en is deze zelfs niet bekend bij de SSL-Certificaat leverancier. Dit is een van de veiligste manieren om een certificaat toe te voegen op een device aangezien de geheime Private Key niet het apparaat verlaat. U kunt er ook voor kiezen om de private key geleverd te krijgen vanuit uw SSL certificaat leverancier.

Smartzone: Certificaat via CSR

Als U niet met private keys in de weer wilt zijn (of als dit proces makkelijker is bij uw SSL-certificaat leverancier), kunt U een certificaat met CSR genereren in de SmartZone controller.

Ga naar System -> Certificates en klik op Generate

Vul de gegevens in van uw bedrijf. Let op dat onder “Common Name” de FQDN (domeinnaam) staat welke je je Gasten Portaal op wilt hebben! Klik vervolgens op OK.

Klik op het Certificaat, en klik op “Download”.

U krijgt nu een ZIP bestand met hierin een .csr bestand. Biedt deze aan bij uw SSL-certificaat leverancier om uiteindelijk een gesigneerd Certificaat terug te krijgen samen met root/intermediate CA certificaten.

Wanneer u het gesigneerde certificaat hebt, ga naar System -> Certificates. Klik op “Import”.

Geef bovenaan de naam van het certificaat op welke binnen Smartzone gebruikt zal worden. Let op, meeste SSL-certificaten zijn 1 jaar geldig, dus het jaartal in de certificaatnaam zetten is aan te raden om in de opvolgende jaren geen overlappende namen te hebben.

Selecteer het gesigneerde Server certificaat, samen met (eventuele) Intermediate CA certificaten en het root CA. Selecteer bij Private Key: “Using CSR” en selecteer de CSR die u eerder heeft gemaakt. Klik daarna op “Validate”

Klik op OK, en op het onderliggende venster ook op OK.

Nu ziet u het geïmporteerde certificaat erbij staan in de lijst:

Let op: De volgende actie veroorzaakt dat de Controller en Access points opnieuw zullen starten! Clients kunnen geen gebruik meer maken van het SmartZone Wi-Fi tijdens de reboot.

Ga naar Tabblad “Certificate to Service Mapping” en pas het nieuwe certificaat toe als “AP Portal” én “Hostspot (WISPr)” en klik op “OK”.

Als het Controller en Access points opnieuw opgestart zijn, zult u op het gastenportaal voorzien worden van het nieuwe certificaat!

Smartzone: Certificaat met losse private key

Als u beschikt over een SSL certificaat met de Private Key in begrepen, kunt u deze als volgt uploaden maart een SmartZone controller.

Zorg er voor dat u het certificaat onversleuteld in PEM formaat hebt (.cer, .pem), en dat uw private key onversleuteld (.pem) of versleuteld in PCKS8 is (.pk8).

Ga naar System -> Certificates. Klik op “Import”.

Zet het Certificaat onder “Server Certificate”, upload de Root CA onder “Root CA certificate” en upload de private key onder “Private Key”. Als de private key onversleuteld is, voer de passphrase in:

Klik vervolgens op “Validate”

Klik vervolgens op OK, en OK op het onderliggende scherm.

Let op: De volgende actie veroorzaakt dat de Controller en Access points opnieuw zullen starten! Clients kunnen geen gebruik meer maken van het SmartZone Wi-Fi tijdens de reboot.

Klik vervolgens op het tabblad “Certificate to Service Mapping”. Configureer het nieuwe certificaat op de AP Portal en Hotspot (WISPr)

Wanneer de Controller en Access points opnieuw opgestart zijn, zult u op het gastenportaal voorzien worden van het nieuwe certificaat!

Unleashed: Certificaat via CSR

Login op je master Access point, ga naar Administration -> Certificate

Vul de gegevens in van uw bedrijf. Let op dat onder “Common Name” de FQDN (domeinnaam) staat welke je je Gasten Portaal op wilt hebben! Klik vervolgens op “Apply”.

U krijgt nu een bestand gedownload met “myreq.csr” als naam. Upload deze naar uw SSL certificaat leverancier.

Let op: De volgende actie veroorzaakt dat de Controller en Access points opnieuw zullen starten! Clients kunnen geen gebruik meer maken van het Unleashed Wi-Fi tijdens de reboot.

Wanneer u een gesigneerd certificaat terugkrijgt, gaat U naar Administration -> Certificate en dan klikt U op tabblad “Import Signed Certificate”. Selecteer hier alleen het gesigneerde PEM-certificaat (.crt, .cer) voor uw device, in de oplopende stappen worden de Intermediate CA’s geupload. Root CA is NIET vereist op Unleashed.

U krijgt een opvolgvraag, Als U een of meerdere Intermediate certificaten heeft ontvangen bij uw certificaat, upload deze ook door op “Install this certificate and additional intermediate certificates” te klikken:

Upload de Intermediate CA:

Als deze succesvol geüpload is, krijgt u de vraag om te rebooten. Als U nog een Intermediate CA wilt toevoegen, herhaal de vorige stap.

Als dit de laatste Intermediate CA was zet uw optie als volgt en klik vervolgens op “Import”.

Unleashed: Certificaat met losse private key

Als u beschikt over een SSL certificaat met de Private Key in begrepen, kunt u deze als volgt uploaden maart een Unleashed Access Point.

Zorg er voor dat u het certificaat onversleuteld in PEM formaat hebt (.cer, .pem), en dat uw private key onversleuteld (.pem). PKCS8 wordt niet ondersteund.

Let op: De volgende actie veroorzaakt dat de Controller en Access points opnieuw zullen starten! Clients kunnen geen gebruik meer maken van het Unleashed Wi-Fi tijdens de reboot.

Login op uw (master) Access point, ga naar Administration -> Certificate, klik vervolgens op tabblad “Import Signed Certificate”. Upload uw Site certificaat:

U krijgt een melding dat de Private key niet geïnstalleerd is op het Unleashed systeem. Selecteer “Accept this certificate and then install a private key to match your certificate.”. en klik op “Import”.

Upload nu uw Private Key(s)

Wanneer de private key succesvol geupload is, krijg u de vraag of u het certificaat wilt installeren en rebooten, of dat u nog Intermediate CA’s wilt toevoegen. In dit voorbeeld is er nog 1 Intermediate die geinstalleerd moet worden.

Wanneer de CA certificaten zijn geüpload, reboot het Unleashed systeem door de optie “Install this intermediate certificate and then reboot” geselecteerd te houden en op “Import” de klikken.

Na het opnieuw opstarten worden de Gasten op de portaal voorzien van het juiste certificaat!

Veel voorkomende vragen:

V: Mijn laptop valideert het certificaat als geldig, maar mijn telefoon blijft melden dat het certificaat ongeldig is.
A: Controleer of de Intermediate CA certificaten geïnstalleerd zijn. Als 1 certificaat in de ketting mist aan de client zijde, word het certificaat niet als geldig gezien.

V: Hoe kan ik mijn versleutelde certificaat/private key omzetten naar een onversleutelde certificaat/private key ?
A: Via de commandlinetool openssl kunnen certificaten omgezet worden. Om met een Grafische interface te werken, is Open source tool XCA te gebruiken. Deze tool is ook te gebruiken om al uw certificaten veilig op te slaan.

Heeft u meer vragen? Gebruik de reactie functie onderaan deze pagina.

ook interessant