Не удалось создать сокет Juniper SSG5 DDNS https

У меня есть межсетевой экран Juniper SSG5, версия: 6.3.0r19.0, который находится на динамическом IP. Мы используем сервис DDNS от dyndns. Служба поддерживается устройством SSG.

Там не было никаких проблем, чтобы заставить его работать, используя только http. Моя проблема возникает при переходе на https.

При использовании http я получаю ответы "good" и "nochg" от dyndns. Он только отвечает "без инициализации" при использовании https.

Более подробную информацию можно найти ниже, я свеж, если есть идеи, как заставить это работать. Мои знания о сертификатах и ​​CA невелики.

Я использовал эту статью в качестве основы для конфигурации:

Juniper KB, настройка DDNS на устройстве screenOS, http://kb.juniper.net/InfoCenter/index?page=content&id=KB4582

ПРИМЕЧАНИЕ. Указанный сертификат, сертификат Geotrust, больше не действителен. Как уже упоминалось, http://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/DynDNS-Certificate-Provider-Changed-ScreenOS-DDNS-Client-Broken/td-p/143914

Этот сертификат был изменен для сертификата DigiCert с 22 мая 2012 года. Я использовал FF для поиска и экспорта сертификатов перед их импортом в устройство SSG. Насколько я могу понять, используются digicerts на members.dyndns.org/, пожалуйста, исправьте меня, если я ошибаюсь,

DigiCert Global Root CA, with serial number:[08:3B:E0:56:90:42:46:B1:A1:75:6A:C9:59:91:C7:4A]

а также

DigiCert SHA2 Secure Server CA with serial number: [01:FD:A3:EB:6E:CA:75:C8:88:43:8B:72:4B:CF:BC:91]

Я даже пытался загрузить их с домашней страницы digicert и установить сертификаты, которые я загружал туда, а затем использовал серийные номера, чтобы узнать, идентичны ли сертификаты.

Возможно, стоит отметить, что при установке оба сертификата называются "DigiCert Global Root CA", но серийные номера и даты истечения срока действия совпадают с информацией, получаемой со страницы, щелкнув по замку URL в FF. Когда используешь

openssl x509 -in DigiCertGlobalRootCA -text -noout

Похоже, что оба сертификата имеют CN="DigiCert Global Root CA".

Я попытался установить их сначала корневой CA, а затем промежуточный, в обратном порядке, только Root, только промежуточный. Загруженные из DigiCert и FF сертификаты. В FF я пробовал с и без цепи. Я даже попытался добавить все DigiCerts, которые я нашел в FF.

Независимо от вышеупомянутых усилий я все еще получаю:

DDNS: Triggering update for 1
ddns: server members.dyndns.org resolved to 204.13.248.111
DDNS: connect error
socket creation failed
ddns: update failed, fail cnt 4, retry after 60 min

Используя этот пример из Dyndns, отсюда [извините, у вас нет представителя для дополнительных URL]: help.dyn.com/remote-access-api/perform-update/

Используя это, я могу обновить IP, используя https с FF.

Имя пользователя:password@members.dyndns.org/nic/update имя хоста =yourhostname& MyIP = IPAddress& подстановочные =NOCHG& тх =NOCHG&backmx=NOCHG

Я также нашел эту статью в Juniper KB и протестировал команду там,

Загрузка промежуточного сертификата CA в Netscreen Firewall

kb.juniper.net/InfoCenter/index?page=content&id=KB6779&actp=search&viewlocale=en_US&searchid=1237138980966

set pki x509 def cert-path full [Enter]
save [Enter]

Но единственное изменение, которое я вижу, это то, что если я устанавливаю промежуточный сертификат, то и промежуточный, и корневой каталог устанавливаются одновременно при установке промежуточного сертификата, но это не помогает мне решить мою проблему.

Где-то я обнаружил, что, возможно, может помочь отключение alg на dns. Я пробовал это, но я не вижу, что это имеет значение.

ПРИМЕЧАНИЕ, ntp и dns включены и работают. Сброс был выполнен после загрузки предполагаемых правильных сертификатов.