使用以下链接我相信我能够为我的路由器创建并安装证书和颁发机构,这样当我通过 HTTPS 连接到它时,它不会给我关于该站点不受信任的警告屏幕,这样我就知道我可以信任它:
- https://github.com/RMerl/asuswrt-merlin/wiki/Generating-OpenVPN-keys-using-Easy-RSA
- https://gist.github.com/davidbalbert/6815258
- https://www.techrepublic.com/blog/apple-in-the-enterprise/managing-ssl-certificate-authorities-on-os-x/
事实上我不再收到警告信息,但是https://
地址栏中出现了两条红线,并且出现了以下错误消息:
net::ERR_CERT_COMMON_NAME_INVALID
所以,我的问题是:
- 它确实不安全吗?我是否忽略了什么?
- 或者这只是 Google Chrome 的挑剔之处,无论我做什么都无法消除它?
- 或者有什么方法可以永久地删除它?
答案1
经过大量调查,我发现解决方案有以下几个步骤:
像 RMerl 一样生成密钥使用 Easy RSA 生成 OpenVPN 密钥 - 但是,您首先需要在 pkitool 中的 2 到 3 个地方将 SHA1 更改为 SHA256,如下所示HTTPS、easy-rsa、sha256、nginx - 在“vars”中,确保取消注释并分配
export KEY_CN=hostname
(例如 192.168.1.1),这是您用于连接路由器的主机名(这让我认为从外部和内部访问路由器可能会有问题;也许 DDNS 可以解决这个问题?) - 完成步骤时./build-key-server server1
,确保 server1 与上面的主机名相同 - 我将其更改export KEY_SIZE=2048
为 1024,不知道 Chrome 是否会接受 1024 - 其他步骤与本文档中所述一致(我完成了客户端步骤,因为那是签名发生的地方,但我不知道是否有必要;我不使用该文件)按照 davidbalbert 的步骤操作如何在运行
asuswrt-merlin
- 在这种情况下,我直接将 192.168.1.1.key 复制到
key.pem
,将 192.168.1.1.cert 复制到cert.pem
。 - 如果适用,请务必阅读有关替换现有证书的评论。
- 在这种情况下,我直接将 192.168.1.1.key 复制到
将新证书文件复制
ca.crt
到您的 Mac,如下所示在 OS X 上管理 SSL 证书颁发机构- 您可能需要重新启动 Mac。
这招奏效了,红线和警告信息都消失了!现在我可以安全地登录我的路由器,完全不用担心被窥探;对吧?
作为参考,我当前安装的固件是版本 3.0.0.4.380_4180