在 Netgear 交換機(例如 GS724T)上配置自定義 HTTPS 證書
由於每次連接到我的交換機時都會收到無效證書警告非常煩人,我想安裝一個由我的機器信任的證書頒發機構簽名的自定義 HTTPS 證書。但我無法弄清楚 Netgear 荒謬的證書配置 UI。它只提供了上傳以下內容的選項:
- SSL 受信任的根證書 PEM 文件
- SSL 伺服器證書 PEM 文件
- SSL DH 弱加密參數 PEM 文件
- SSL DH 強加密參數 PEM 文件
沒有上傳密鑰或在交換機上生成 CSR 的選項(就像任何健全的安全系統一樣)。Netgear 論壇表明有一些神奇的組合如何做到這一點,但大多數文章要麼不完整,要麼不建議如何讓 CA 簽名的證書工作(只有一個單獨的自簽名密鑰)。官方手冊就更沒用了,無非就是“
$$ ensure $$文件格式正確”。 配置這個的正確方法是什麼?
首先,這應該適用於任何具有類似 UI 的 Netgear 韌體,但作為參考,這是韌體 6.3.0.9 的 GS724Tv4。
我將假設現有知識如何創建根 CA、中間 CA,以及創建和簽署證書(如果沒有,請參閱例如OpenSSL 證書頒發機構)。我們將需要以下內容:
- 根 CA 證書 (
root.cert.pem)- 中級 CA 證書 (
intermediate.cert.pem)- 交換機通用名的伺服器證書 (
switch.cert.pem)- 伺服器證書對應的伺服器密鑰(
switch.key.pem)- DH 1024 位參數,也許 2048 位會更好 (
dhparams.pem)創建兩個文件:
- 證書鏈:
cat root.cert.pem intermediate.cert.pem > ca-chain.pem- 證書+密鑰:
cat switch.cert.pem switch.key.pem > switch-combined.pem在交換機的 Web UI 中:
安全 → 訪問 → HTTPS → HTTPS 配置 → 將“HTTPS 管理模式”設置為“禁用”,應用。
安全→訪問→HTTPS→證書管理→設置“刪除證書”,應用。
維護→下載→HTTP文件下載
選擇“SSL DH Strong Encryption Parameter PEM File”,然後選擇
dhparams.pem,應用。選擇“SSL Trusted Root Certificate PEM File”,然後選擇
ca-chain.pem“應用”。選擇“SSL 伺服器證書 PEM 文件”,然後選擇
switch-combined.pem,應用。安全 → 訪問 → HTTPS → 證書管理 → 驗證指示“證書存在:是”。
安全 → 訪問 → HTTPS → HTTPS 配置 → 將“HTTPS 管理模式”設置為“啟用”,應用。
現在您應該可以使用帶有 CA 簽名證書的 HTTPS。