Beschreibung:
LANCOM Geräte haben ein selbstsigniertes SSL-Zertifikat für den Zugriff per HTTPS. Dies führt zu einer entsprechenden Warnmeldung, wenn ein Gerät das Webinterface per HTTPS aufruft. Aus diesem Grund ist im Public Spot in der Standard-Konfiguration das Protokoll HTTP ausgewählt, damit in einer Hotspot-Umgebung keine Warnmeldung ausgegeben wird.
In vielen Szenarien ist es aber gewünscht, ein SSL-Zertifikat für den Public Spot zu verwenden und die Login- und Status-Seiten verschlüsselt zu übertragen. Eine einfache Möglichkeit, ein SSL-Zertifikat für HTTPS zu beziehen, stellt der ACME-Client dar (Automatic Certificate Management Environment). Dieser stellt mit dem DNS-Namen des Routers (DynDNS oder einer festen IP-Adresse zugeordneter DNS-Name) eine Anfrage (Certificate Signing Request - CSR) bei dem Anbieter Let's Encrypt und bezieht von diesem ein SSL-Zertifikat.
In diesem Artikel wird beschrieben, wie über den ACME-Client ein SSL-Zertifikat bezogen werden kann und dieses im Public Spot verwendet wird.
Das LCOS unterstützt nur ein SSL-Zertifikat für den Zugriff per HTTPS. Das über den ACME-Client bezogene Zertifikat wird daher sowohl im Public Spot als auch in WEBconfig verwendet.
Voraussetzungen:
- LCOS ab Version 10.80 (download aktuelle Version)
- LANtools ab Version 10.80 (download aktuelle Version)
- Bereits konfigurierter und funktionsfähiger Public Spot samt Gastnetzwerk
- DynDNS-Account, mit dem der Router seine IP-Adresse als DNS-Name bekanntgibt oder feste IP-Adresse, die einem DNS-Namen zugeordnet ist
Vorgehensweise:
1. Wechseln Sie in der Konfiguration des Routers in das Menü Zertifikate → ACME-Client und passen die folgenden Parameter an:
- Setzen Sie den Haken bei ACME-Client aktiviert, damit die Zertifikate automatisch bezogen und regelmäßig erneuert werden.
- Tragen Sie bei Domäne den DNS-Namen des Routers ein (in diesem Beispiel hotspot.domain.de)
- Tragen Sie bei Kontakt (E-Mail-Adresse) eine E-Mail-Adresse ein, die als Kontakt-Information für den Zertifikatsantrag verwendet wird.
2. Wechseln Sie in das Menü Public-Spot → Anmeldung und aktivieren die Option HTTPS - Login- und Statusseiten werden verschlüsselt übertragen.
3. Wechseln Sie in das Menü Public-Spot → Server → Betriebseinstellungen.
4. Tragen Sie als Geräte-Hostname die in Schritt 1. hinterlegten DNS-Namen des Routers ein (in diesem Beispiel hotspot.domain.de).
5. Wechseln Sie in das Menü DNS → Allgemein → Stations-Namen.
6. Passen Sie die folgenden Parameter an:
- Stations-Name: Tragen Sie die in den Schritten 1. und 4. hinterlegten DNS-Namen des Routers ein (in diesem Beispiel hotspot.domain.de).
- IPv4-Adresse: Tragen Sie die IPv4-Adresse des Routers im Public Spot Netzwerk ein (in diesem Beispiel 192.168.10.254).
7. Die Konfigurations-Schritte sind damit abgeschlossen. Schreiben Sie die Konfiguration in das Gerät zurück.
Status-Informationen zum ACME-Client können im LANmonitor unter Zertifikate → ACME-Client eingesehen werden.
Bei Problemen mit dem Zertifikatsbezug über den ACME-Client kann der ACME Trace verwendet werden (per LANtracer oder per Konsole).