スイッチに接続するたびに無効な証明書の警告が表示されるのは非常に面倒なので、マシンが信頼する認証局によって署名されたカスタムHTTPS証明書をインストールしたいと思います。しかし、Netgearのばかげた証明書構成UIを理解することはできません。次のものをアップロードするオプションのみが表示されます。
キーをアップロードしたり、スイッチでCSRを生成したりするオプションはありません(他の適切なセキュリティシステムのように)。 Netgearフォーラムは、これを行う方法の魔法の組み合わせがあることを示していますが、ほとんどの投稿は不完全であるか、CA署名付き証明書を機能させる方法をアドバイスしていません(唯一の自己署名キーのみ)。公式マニュアルは、「ファイルが正しい形式であることを[確認]する」だけで、さらに役に立ちません。
これを構成する正しい方法は何ですか?
まず、これは同様のUIを持つすべてのNetgearファームウェアで機能するはずですが、参考までに、これはファームウェア6.3.0.9を備えたGS724Tv4です。
ルートCA、中間CAを作成し、証明書を作成して署名する方法についての既存の知識があることを前提とします(そうでない場合は、たとえば OpenSSL Certificate Authority を参照してください)。次のものが必要です。
root.cert.pem
)intermediate.cert.pem
)switch.cert.pem
)switch.key.pem
)dhparams.pem
)2つのファイルを作成します。
cat root.cert.pem intermediate.cert.pem > ca-chain.pem
cat switch.cert.pem switch.key.pem > switch-combined.pem
スイッチのウェブUIの場合:
dhparams.pem
、適用を選択します。ca-chain.pem
を選択して、適用します。switch-combined.pem
、適用を選択します。これで、CA署名付き証明書でHTTPSが機能するはずです。
HTTPS管理者モードが機能しなくなるため、2048ビットのDH強力な暗号化パラメーターを使用しないでください。 [証明書管理]タブには、証明書が存在することが示されます。
ただし、GUIインターフェイスでは、HTTPS管理モードを有効にしようとすると、不足している機能が見つからないというエラーが発生し、GUIは有効になっていることを示しますが、割り当てられたポートでは何もリッスンしません。
HTTPS管理モードを無効にし、証明書を削除し、1024ビットDHの強力な暗号化パラメーターを使用して上記の証明書読み込みシーケンスを実行すると、証明書が機能します。
ProSAFE M4300スイッチで問題が発生し、AndrewMarshallの手順が機能しなくなりました。
「信頼されたルート」の証明書は、ルートCAの証明書のみであり、仲介者を含めないでください。 「サーバー証明書ファイル」には、キー、サーバーの証明書、および中間(ルートを除く)が含まれている必要があります。投稿された元のソリューションに従うと、SSLプロトコルエラーが発生しました。
それ以外のすべてのステップは同じです。