Настройка настраиваемого сертификата HTTPS на коммутаторе Netgear (например, GS724T)
Поскольку довольно неприятно получать предупреждение о недействительном сертификате при каждом подключении к коммутатору, я хочу установить собственный сертификат HTTPS, подписанный центром сертификации, которому доверяют мои машины. Но я не могу понять смешной пользовательский интерфейс настройки сертификатов Netgear. Это только дает возможность загрузить следующее:
- Файл PEM доверенного корневого сертификата SSL
- Файл PEM сертификата сервера SSL
- Файл DHE параметра слабого шифрования SSL DH
- Файл PEM с параметром шифрования SSL DH
Нет никакой возможности загрузить ключ или сгенерировать CSR на коммутаторе (как любая нормальная система безопасности). Форумы Netgear указывают, что есть некоторая волшебная комбинация, как это сделать, но большинство сообщений либо неполные, либо не советуют, как заставить работать сертификат, подписанный СА (только одиночный, самозаверяющий ключ). Официальное руководство еще менее полезно, не говоря уже о том, что "файл должен быть в правильном формате".
Как правильно это настроить?
7 ответов
Во-первых, это должно работать на любой прошивке Netgear с аналогичным интерфейсом, но для справки это GS724Tv4 с прошивкой 6.3.0.9.
Я собираюсь предположить имеющиеся знания о том, как создать корневой ЦС, промежуточный ЦС, а также создать и подписать сертификаты (если нет, см., Например, Центр сертификации OpenSSL). Нам понадобится следующее:
- Корневой сертификат CA (
root.cert.pem) - Промежуточный сертификат CA (
intermediate.cert.pem) - Сертификат сервера с общим именем для коммутатора (
switch.cert.pem) - Ключ сервера, соответствующий сертификату сервера (
switch.key.pem) - DH 1024-битные параметры, возможно, 2048-битные будут лучше (
dhparams.pem)
Создайте два файла:
- Цепочка сертификатов:
cat root.cert.pem intermediate.cert.pem > ca-chain.pem - Сертификат + ключ:
cat switch.cert.pem switch.key.pem > switch-combined.pem
В веб-интерфейсе коммутатора:
- Безопасность → Доступ → HTTPS → Конфигурация HTTPS → Установите для "Режим администратора HTTPS" значение "Отключить", Применить.
- Безопасность → Доступ → HTTPS → Управление сертификатами → Установить "Удалить сертификаты", Применить.
- Обслуживание → Скачать → Скачать HTTP файл
- Выберите "Файл PEM параметров шифрования SSL DH" и выберите
dhparams.pem, Применять. - Выберите "Файл PEM доверенного корневого сертификата SSL" и выберите
ca-chain.pem, Применять. - Выберите "Файл PEM сертификата сервера SSL" и выберите
switch-combined.pem, Применять.
- Выберите "Файл PEM параметров шифрования SSL DH" и выберите
- Безопасность → Доступ → HTTPS → Управление сертификатами → Подтверждение означает "Сертификат присутствует: Да".
- Безопасность → Доступ → HTTPS → Конфигурация HTTPS → Установите для "Режим администратора HTTPS" значение "Включить", Применить.
Теперь у вас должен быть рабочий HTTPS с вашим сертификатом, подписанным CA.
Не пытайтесь использовать 2048-битный параметр шифрования DH Strong, так как он препятствует работе режима администратора HTTPS. Вкладка управления сертификатами покажет, что сертификат присутствовал.
Тем не менее, интерфейс GUI будет выдавать ошибки о невозможности найти некоторые отсутствующие функции при попытке включить режим администрирования HTTPS, и хотя GUI покажет, что он включен, ничто не будет прослушивать назначенный порт.
Отключение режима администрирования HTTPS, удаление сертификатов и следование приведенной выше последовательности загрузки сертификатов с параметром 1024-битного строгого шифрования DH заставили его работать.
GS308Tv1 с прошивкой 1.0.0.12 снова отличается.
"Файл PEM доверенного корневого сертификата SSL" должен содержать только сертификат сервера.
"Файл PEM сертификата сервера SSL" должен содержать промежуточный сертификат (необязательно), за которым следует закрытый ключ сервера.
Если вы повторите сертификат сервера во втором файле, он будет продублирован в TLS-соединении, которое недействительно (но все еще работает для самозаверяющих сертификатов). Корневой сертификат не следует загружать в коммутатор.
- "Файл PEM параметров слабого шифрования SSL DH" ожидает 512 бит.
- "Файл PEM параметров надежного шифрования SSL DH" ожидает 1024 бита.
Этот коммутатор поддерживает TLSv1.2 и принимает 4096-битный ключ RSA, а также алгоритм подписи SHA512 (он просто запускает Linux/OpenSSL/Lighttpd).
Я рекомендую использовать 2048-битный ключ RSA (такой же, как автоматически сгенерированный самоподписанный сертификат), потому что 4096-битный RSA в 3 раза медленнее для подключения и может снизить производительность коммутатора.
Для MS108EUP с микропрограммой 1.0.1.9 файл конфигурации сертификата можно загрузить в разделе «Настройки» > «Доступ к графическому интерфейсу» > «Конфигурация сертификата» > «Обновление сертификата».
Это должен быть обычный текстовый файл с расширением
-----BEGIN CERTIFICATE-----
<snip>
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----
<snip>
-----END RSA PRIVATE KEY-----
Обратите внимание, что блок закрытого ключа должен быть
Невозможно включить промежуточный сертификат, который будет обслуживаться коммутатором.
Я получил эту информацию после консультации со службой поддержки клиентов Netgear. Обратите внимание, что руководство для MS108EUP устарело и содержит описания, не соответствующие текущей прошивке.
Я пишу здесь, потому что этот ответ появился во время моих поисков настройки сертификатов этого коммутатора; Я надеюсь, что это поможет следующему человеку прийти.
Ниже приведен пример файла сертификата, предоставленного мне службой поддержки Netgear. Он был назван
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----
Начиная с версии прошивки 6.3.1.43 на GS724Tv4 загрузка «PEM-файла параметров сильного шифрования SSL DH» больше не требуется, поскольку коммутатор просто генерирует их автоматически. Вам нужны только «Файл PEM доверенного корневого сертификата SSL» и «Файл PEM сертификата SSL-сервера».
Однако следует отметить, что закрытый ключ сертификата должен быть RSA — он не работает с закрытым ключом EC.
Возился с установкой на GS108Tv2 с версией прошивки V7.0.9.5. Какой кошмар!
Инструкция сверху мне не помогла. Но после долгих проб и ошибок мне наконец удалось его запустить!
Как описано, вам нужен центр сертификации, промежуточный (если существует) и сертификат сервера, а также ключ в формате PEM (Base64).
Скопируйте сертификаты в один файл. Кажется, порядок сертификатов важен (верхний = сервер, средний = промежуточный, нижний = CA).
- Windows CMD: введите Server.pem Intermediate.pem CA.pem > CertChain.pem
Теперь загрузите CertChain.pem как «Файл PEM доверенного корневого сертификата SSL», а файл с ключом сертификата сервера только как «Файл PEM сертификата SSL-сервера». Также загрузите параметры DH на основе размера ключа RSA сертификата сервера.
Я столкнулся с проблемой с переключателями ProSAFE M4300, из-за которой шаги Эндрю Маршалла не работали.
Сертификат "Доверенный корень" должен быть только сертификатом корневого ЦС и не включать посредника. "Файл сертификата сервера" должен содержать ключ, сертификат сервера, а затем любые посредники (кроме корневого). Следование исходному решению, опубликованному, привело к ошибкам протокола SSL.
Все остальные шаги остались прежними.