web-dev-qa-db-ja.com

Netgearスイッチ(GS724Tなど)でのカスタムHTTPS証明書の構成

スイッチに接続するたびに無効な証明書の警告が表示されるのは非常に面倒なので、マシンが信頼する認証局によって署名されたカスタムHTTPS証明書をインストールしたいと思います。しかし、Netgearのばかげた証明書構成UIを理解することはできません。次のものをアップロードするオプションのみが表示されます。

  • SSL信頼されたルート証明書PEMファイル
  • SSLサーバー証明書PEMファイル
  • SSL DH弱暗号化パラメーターPEMファイル
  • SSLDH強力な暗号化パラメータPEMファイル

キーをアップロードしたり、スイッチでCSRを生成したりするオプションはありません(他の適切なセキュリティシステムのように)。 Netgearフォーラムは、これを行う方法の魔法の組み合わせがあることを示していますが、ほとんどの投稿は不完全であるか、CA署名付き証明書を機能させる方法をアドバイスしていません(唯一の自己署名キーのみ)。公式マニュアルは、「ファイルが正しい形式であることを[確認]する」だけで、さらに役に立ちません。

これを構成する正しい方法は何ですか?

3
Andrew Marshall

まず、これは同様のUIを持つすべてのNetgearファームウェアで機能するはずですが、参考までに、これはファームウェア6.3.0.9を備えたGS724Tv4です。

ルートCA、中間CAを作成し、証明書を作成して署名する方法についての既存の知識があることを前提とします(そうでない場合は、たとえば OpenSSL Certificate Authority を参照してください)。次のものが必要です。

  • ルートCA証明書(root.cert.pem
  • 中間CA証明書(intermediate.cert.pem
  • スイッチの共通名を持つサーバー証明書(switch.cert.pem
  • サーバー証明書に対応するサーバーキー(switch.key.pem
  • DH 1024ビットパラメータ、おそらく2048ビットの方が良いでしょう(dhparams.pem

2つのファイルを作成します。

  • 証明書チェーン:cat root.cert.pem intermediate.cert.pem > ca-chain.pem
  • 証明書とキー:cat switch.cert.pem switch.key.pem > switch-combined.pem

スイッチのウェブUIの場合:

  1. セキュリティ→アクセス→HTTPS→HTTPS設定→「HTTPS管理者モード」を「無効」に設定し、適用します。
  2. セキュリティ→アクセス→HTTPS→証明書管理→「証明書の削除」を設定し、適用します。
  3. メンテナンス→ダウンロード→HTTPファイルのダウンロード
    1. 「SSLDH強力暗号化パラメータPEMファイル」を選択し、dhparams.pem、適用を選択します。
    2. 「SSLトラステッドルート証明書PEMファイル」を選択し、ca-chain.pemを選択して、適用します。
    3. 「SSLサーバー証明書PEMファイル」を選択し、switch-combined.pem、適用を選択します。
  4. [セキュリティ]→[アクセス]→[HTTPS]→[証明書管理]→[検証]は、「証明書の存在:はい」を示します。
  5. セキュリティ→アクセス→HTTPS→HTTPS設定→「HTTPS管理モード」を「有効」に設定し、適用します。

これで、CA署名付き証明書でHTTPSが機能するはずです。

3
Andrew Marshall

HTTPS管理者モードが機能しなくなるため、2048ビットのDH強力な暗号化パラメーターを使用しないでください。 [証明書管理]タブには、証明書が存在することが示されます。

ただし、GUIインターフェイスでは、HTTPS管理モードを有効にしようとすると、不足している機能が見つからないというエラーが発生し、GUIは有効になっていることを示しますが、割り当てられたポートでは何もリッスンしません。

HTTPS管理モードを無効にし、証明書を削除し、1024ビットDHの強力な暗号化パラメーターを使用して上記の証明書読み込みシーケンスを実行すると、証明書が機能します。

2
Woodogre

ProSAFE M4300スイッチで問題が発生し、AndrewMarshallの手順が機能しなくなりました。

「信頼されたルート」の証明書は、ルートCAの証明書のみであり、仲介者を含めないでください。 「サーバー証明書ファイル」には、キー、サーバーの証明書、および中間(ルートを除く)が含まれている必要があります。投稿された元のソリューションに従うと、SSLプロトコルエラーが発生しました。

それ以外のすべてのステップは同じです。

0
Bryan Wyatt