在 Netgear 交换机(例如 GS724T)上配置自定义 HTTPS 证书

在 Netgear 交换机(例如 GS724T)上配置自定义 HTTPS 证书

由于每次连接到交换机时都会收到无效证书警告,这很烦人,所以我想安装由我的机器信任的证书颁发机构签名的自定义 HTTPS 证书。但我搞不懂 Netgear 荒谬的证书配置 UI。它只提供上传以下内容的选项:

  • SSL 受信任根证书 PEM 文件
  • SSL 服务器证书 PEM 文件
  • SSL DH 弱加密参数 PEM 文件
  • SSL DH 强加密参数 PEM 文件

没有上传密钥或在交换机上生成 CSR 的选项(任何健全的安全系统都会这样做)。Netgear 论坛指出,有一些神奇的组合可以做到这一点,但大多数帖子要么不完整,要么没有建议如何让 CA 签名的证书发挥作用(只有一个单独的自签名密钥)。官方手册甚至更没有帮助,只是说“[确保] 文件格式正确”。

配置这个的正确方法是什么?

答案1

首先,这个应该适用于具有类似 UI 的任何 Netgear 固件,但作为参考,这是具有固件 6.3.0.9 的 GS724Tv4。

我将假设您已经了解如何创建根 CA、中间 CA 以及创建和签署证书(如果没有,请参阅例如OpenSSL 证书颁发机构)。我们需要以下信息:

  • 根 CA 证书 ( root.cert.pem)
  • 中级 CA 证书 ( intermediate.cert.pem)
  • 具有交换机通用名称的服务器证书(switch.cert.pem
  • 服务器证书对应的服务器密钥(switch.key.pem
  • DH 1024 位参数,也许 2048 位会更好 ( dhparams.pem)

创建两个文件:

  • 证书链:cat root.cert.pem intermediate.cert.pem > ca-chain.pem
  • 证书+密钥:cat switch.cert.pem switch.key.pem > switch-combined.pem

在交换机的 Web UI 中:

  1. 安全 → 访问 → HTTPS → HTTPS 配置 → 将“HTTPS 管理模式”设置为“禁用”,应用。
  2. 安全 → 访问 → HTTPS → 证书管理 → 设置“删除证书”,应用。
  3. 维护 → 下载 → HTTP 文件下载
    1. 选择“SSL DH强加密参数PEM文件”,并选择dhparams.pem,应用。
    2. 选择“SSL 受信任的根证书 PEM 文件”,然后选择ca-chain.pem“应用”。
    3. 选择“SSL 服务器证书 PEM 文件”,然后选择switch-combined.pem“应用”。
  4. 安全 → 访问 → HTTPS → 证书管理 → 验证指示“证书存在:是”。
  5. 安全 → 访问 → HTTPS → HTTPS 配置 → 将“HTTPS 管理模式”设置为“启用”,应用。

现在您应该可以使用 CA 签名的证书来运行 HTTPS。

答案2

不要尝试使用 2048 位 DH Strong 加密参数,因为它会阻止 HTTPS 管理模式工作。证书管理选项卡将显示证书存在。

但是,在尝试启用 HTTPS 管理模式时,GUI 界面会给出无法找到某些缺失功能的错误,并且虽然 GUI 会显示它已启用,但在分配的端口上没有任何内容会监听。

禁用 HTTPS 管理模式,删除证书,然后按照上面的证书加载顺序使用 1024 位 DH 强加密参数即可使其正常工作。

答案3

固件版本为 1.0.0.12 的 GS308Tv1 又有所不同。

  • “SSL 受信任根证书 PEM 文件”应包含服务器证书仅有的

  • “SSL 服务器证书 PEM 文件”应包含中间证书(可选)和服务器私钥。

如果您在第二个文件中重复服务器证书,那么它将在 TLS 连接中重复,这是无效的(但对于自签名证书仍然有效)。根证书不应上传到交换机。

  • “SSL DH 弱加密参数 PEM 文件”需要 512 位。
  • “SSL DH 强加密参数 PEM 文件”需要 1024 位。

此交换机支持 TLSv1.2,并将接受 4096 位 RSA 密钥以及 SHA512 签名算法(它只是运行 Linux/OpenSSL/Lighttpd)。

我建议使用 2048 位 RSA 密钥(与自动生成的自签名证书相同),因为 4096 位 RSA 的连接速度慢 3 倍,并且可能会降低交换机的性能。

答案4

我在使用 ProSAFE M4300 交换机时遇到了问题,导致 Andrew Marshall 的步骤不起作用。

“受信任的根”证书应仅是根 CA 的证书,而不包含中介。“服务器证书文件”应包含密钥、服务器的证书,然后是任何中介(不包括根)。按照发布的原始解决方案操作会导致 SSL 协议错误。

除此以外,所有其他步骤保持不变。

相关内容