HP MSM-WLAN: Anpassung des Captive Portals am Controller

Dabei wird der unauthentifizierte Nutzer, der über eine SSiD auf das Netzwerk zugreifen möchte, zwangsläufig auf eine http/s-Site geleitet und muss dort seine Credentials angeben. Diese können entweder – je nach Einrichtung – selbst angelegt oder z.B. von einem Mitarbeiter am Empfang ausgestellt werden. Beim Erstellen kann auch die Gültigkeitsdauer definiert werden. So kann der Zugriff zeitlich begrenzt und die vorhandene Infrastruktur ressourcenschonend genutzt werden. Außerdem gibt dies einen erheblichen Sicherheitsvorteil und mehr Transparenz im Netzwerk.

Damit bei Aufruf dieses Captive Portals keine Zertifikatswarnung erscheint, sollte das selbstsignierte Zertifikat für den internen Namen hp.wireless.internal durch ein öffentliches, von gängigen Browsern als vertrauenswürdig eingestuftes Zertifikat ersetzt werden.

Normalerweise muss ein DNS-Eintrag für ein entsprechendes Zertifikat angelegt werden. Da der DNS-Name allerdings nur innerhalb des WLAN-Controllers genutzt wird, besteht dafür extern keine Notwendigkeit. Doch wo ändert man nun den DNS-Namen dafür? 

Braucht er auch nicht. Der Controller ändert den fiktiven DNS-Namen, sobald ein öffentliches Zertifikat (Achtung! Kein Wildcard!) hochgeladen und zugewiesen wurde. Dabei nimmt der Controller die Information für die neue Hotspot-URL aus dem Common Name des Zertifikates. Ist das verwendete Zertifikat ein Wildcard-Zertifikat, kommt es hier zu Problemen, da nur die Domain und die TLD angegeben werden, nicht aber der Hostname bzw. die Sub-Domäne des Servers. Es kann so keine eindeutige Zuordnung stattfinden.

Das verwendete Zertifikat muss mit privatem Schlüssel und Zertifikatskette (nicht CN+Intermediate-CA+Root-CA!) in folgendem Schema auf den Controller hochgeladen werden:

Zum Erstellen des privaten Schlüssels und der Chain kann z.B. OpenSSL genutzt werden.