由于每次连接到交换机时都会收到无效证书警告,这很烦人,所以我想安装由我的机器信任的证书颁发机构签名的自定义 HTTPS 证书。但我搞不懂 Netgear 荒谬的证书配置 UI。它只提供上传以下内容的选项:
- SSL 受信任根证书 PEM 文件
- SSL 服务器证书 PEM 文件
- SSL DH 弱加密参数 PEM 文件
- SSL DH 强加密参数 PEM 文件
没有上传密钥或在交换机上生成 CSR 的选项(任何健全的安全系统都会这样做)。Netgear 论坛指出,有一些神奇的组合可以做到这一点,但大多数帖子要么不完整,要么没有建议如何让 CA 签名的证书发挥作用(只有一个单独的自签名密钥)。官方手册甚至更没有帮助,只是说“[确保] 文件格式正确”。
配置这个的正确方法是什么?
答案1
首先,这个应该适用于具有类似 UI 的任何 Netgear 固件,但作为参考,这是具有固件 6.3.0.9 的 GS724Tv4。
我将假设您已经了解如何创建根 CA、中间 CA 以及创建和签署证书(如果没有,请参阅例如OpenSSL 证书颁发机构)。我们需要以下信息:
- 根 CA 证书 (
root.cert.pem) - 中级 CA 证书 (
intermediate.cert.pem) - 具有交换机通用名称的服务器证书(
switch.cert.pem) - 服务器证书对应的服务器密钥(
switch.key.pem) - DH 1024 位参数,也许 2048 位会更好 (
dhparams.pem)
创建两个文件:
- 证书链:
cat root.cert.pem intermediate.cert.pem > ca-chain.pem - 证书+密钥:
cat switch.cert.pem switch.key.pem > switch-combined.pem
在交换机的 Web UI 中:
- 安全 → 访问 → HTTPS → HTTPS 配置 → 将“HTTPS 管理模式”设置为“禁用”,应用。
- 安全 → 访问 → HTTPS → 证书管理 → 设置“删除证书”,应用。
- 维护 → 下载 → HTTP 文件下载
- 选择“SSL DH强加密参数PEM文件”,并选择
dhparams.pem,应用。 - 选择“SSL 受信任的根证书 PEM 文件”,然后选择
ca-chain.pem“应用”。 - 选择“SSL 服务器证书 PEM 文件”,然后选择
switch-combined.pem“应用”。
- 选择“SSL DH强加密参数PEM文件”,并选择
- 安全 → 访问 → HTTPS → 证书管理 → 验证指示“证书存在:是”。
- 安全 → 访问 → HTTPS → HTTPS 配置 → 将“HTTPS 管理模式”设置为“启用”,应用。
现在您应该可以使用 CA 签名的证书来运行 HTTPS。
答案2
不要尝试使用 2048 位 DH Strong 加密参数,因为它会阻止 HTTPS 管理模式工作。证书管理选项卡将显示证书存在。
但是,在尝试启用 HTTPS 管理模式时,GUI 界面会给出无法找到某些缺失功能的错误,并且虽然 GUI 会显示它已启用,但在分配的端口上没有任何内容会监听。
禁用 HTTPS 管理模式,删除证书,然后按照上面的证书加载顺序使用 1024 位 DH 强加密参数即可使其正常工作。
答案3
固件版本为 1.0.0.12 的 GS308Tv1 又有所不同。
“SSL 受信任根证书 PEM 文件”应包含服务器证书仅有的。
“SSL 服务器证书 PEM 文件”应包含中间证书(可选)和服务器私钥。
如果您在第二个文件中重复服务器证书,那么它将在 TLS 连接中重复,这是无效的(但对于自签名证书仍然有效)。根证书不应上传到交换机。
- “SSL DH 弱加密参数 PEM 文件”需要 512 位。
- “SSL DH 强加密参数 PEM 文件”需要 1024 位。
此交换机支持 TLSv1.2,并将接受 4096 位 RSA 密钥以及 SHA512 签名算法(它只是运行 Linux/OpenSSL/Lighttpd)。
我建议使用 2048 位 RSA 密钥(与自动生成的自签名证书相同),因为 4096 位 RSA 的连接速度慢 3 倍,并且可能会降低交换机的性能。
答案4
我在使用 ProSAFE M4300 交换机时遇到了问题,导致 Andrew Marshall 的步骤不起作用。
“受信任的根”证书应仅是根 CA 的证书,而不包含中介。“服务器证书文件”应包含密钥、服务器的证书,然后是任何中介(不包括根)。按照发布的原始解决方案操作会导致 SSL 协议错误。
除此以外,所有其他步骤保持不变。