Настройка пользовательского сертификата HTTPS на коммутаторе Netgear (например, GS724T)

Во-первых, это должен работают на любой прошивке Netgear с аналогичным интерфейсом, но для справки это GS724Tv4 с прошивкой 6.3.0.9.

Я собираюсь исходить из имеющихся знаний о том, как создать корневой ЦС, промежуточный ЦС, а также создавать и подписывать сертификаты (если нет, см., Например, Центр сертификации OpenSSL). Нам понадобится следующее:

• Сертификат корневого ЦС (root.cert.pem)
• Сертификат промежуточного ЦС (intermediate.cert.pem)
• Сертификат сервера с общим именем коммутатора (switch.cert.pem)
• Ключ сервера, соответствующий сертификату сервера (switch.key.pem)
• 1024-битные параметры DH, возможно, 2048-битные будут лучше (dhparams.pem)

Создайте два файла:

• Цепочка сертификатов: cat root.cert.pem intermediate.cert.pem > ca-chain.pem
• Сертификат + ключ: cat switch.cert.pem switch.key.pem > switch-combined.pem

В веб-интерфейсе коммутатора:

1. Безопасность → Доступ → HTTPS → Конфигурация HTTPS → Установите для параметра «Режим администратора HTTPS» значение «Отключить», применить.
2. Безопасность → Доступ → HTTPS → Управление сертификатами → Установите «Удалить сертификаты», Применить.
3. Обслуживание → Скачать → Загрузка файла HTTP
   1. Выберите «Файл PEM с параметрами надежного шифрования SSL DH» и выберите dhparams.pem, Подать заявление.
   2. Выберите «Файл PEM с доверенным корневым сертификатом SSL» и выберите ca-chain.pem, Подать заявление.
   3. Выберите «Файл PEM сертификата сервера SSL» и выберите switch-combined.pem, Подать заявление.
4. Безопасность → Доступ → HTTPS → Управление сертификатами → Проверить показывает «Сертификат присутствует: Да».
5. Безопасность → Доступ → HTTPS → Конфигурация HTTPS → Установите для параметра «Режим администрирования HTTPS» значение «Включить», применить.

Теперь у вас должен быть рабочий HTTPS с сертификатом, подписанным ЦС.

Не пытайтесь использовать 2048-битный параметр шифрования DH Strong, поскольку он мешает работе режима администратора HTTPS. На вкладке управления сертификатами будет показано, что сертификат присутствует.

Однако интерфейс GUI выдает ошибки о невозможности найти некоторые недостающие функции при попытке включить режим администратора HTTPS, и хотя графический интерфейс показывает, что он включен, ничего не будет прослушивать назначенный порт.

Отключение режима администратора HTTPS, удаление сертификатов и выполнение указанной выше последовательности загрузки сертификатов с 1024-битным параметром надежного шифрования DH заставили его работать.

GS308Tv1 с прошивкой 1.0.0.12 снова отличается.

• "Файл PEM доверенного корневого сертификата SSL" должен содержать сертификат сервера. только.

• «Файл PEM сертификата сервера SSL» должен содержать промежуточный сертификат (необязательно), за которым следует закрытый ключ сервера.

Если вы повторите сертификат сервера во втором файле, он будет продублирован в TLS-соединении, которое недействительно (но все еще работает для самозаверяющих сертификатов). Корневой сертификат не следует загружать в коммутатор.

• "Файл PEM параметров слабого шифрования SSL DH" ожидает 512 бит.
• "Файл PEM параметров надежного шифрования SSL DH" ожидает 1024 бита.

Этот коммутатор поддерживает TLSv1.2 и принимает 4096-битный ключ RSA, а также алгоритм подписи SHA512 (он просто работает под управлением Linux / OpenSSL / Lighttpd).

Я рекомендую использовать 2048-битный ключ RSA (такой же, как автоматически сгенерированный самоподписанный сертификат), потому что 4096-битный RSA в 3 раза медленнее для подключения и может снизить производительность коммутатора.

У меня возникла проблема с коммутаторами ProSAFE M4300, из-за которой шаги Эндрю Маршалла не работали.

Сертификат «Trusted Root» должен быть сертификатом только корневого CA и не включать посредника. «Файл сертификата сервера» должен содержать ключ, сертификат сервера и всех посредников (за исключением корневого). Следуя опубликованному исходному решению, возникли ошибки протокола SSL.

В остальном все остальные шаги остались прежними.