SSL сертификат для мартшрутизатора D-Link DFL-860E

Начиная с середины лета 2015 года популярный интернет обозреватель (браузер) FireFox версии 39 (и более новые версии) перестал заходить в веб-панель администрирования маршрутизатора D-Link DFL-860E. При этом браузер не предлагал как обычно сделать всё на свой страх и риск, а просто отказывался работать. А вот Internet Explorer по старинке ругался, что соединение недостоверное и сертификат нельзя проверить (что правда ведь он самоподписанный), но соглашался продолжить работу.

Как исправить ошибку FireFox в работе с DFL-860E

Причиной такого поведения является недостаточный уровень шифрования (по версии FireFox) в связи с использованием D-Link слишком короткого ключа в самоподписном сертификате. В моем случае его длина на DFL-860E составляла 1022 бита (это не ошибка именно 1022, а не 1024).
Чтобы восстановить нормальную работу браузера FireFox необходимо залить в маршрутизатор новый самоподписанный сертификат с ключом шифрования длинной не менее 1024 бита.

Как создать самоподписанный SSL сертификат (Инструкция для Windows)

Чтобы создать новый SSL сертификат нам понадобится классическое приложение из Linux — OpenSSL. Но естественное скомпилированное уже под Windows. А так как на официальном сайте сейчас отсутствуют бинарные сборки, то качаем их с одного из сайтов партнеров — https://wiki.openssl.org/index.php/Binaries. В данном примере я использовал скомпилированную бинарную сборку с этого ресурса https://indy.fulgan.com/SSL/ — openssl-1.0.2e-x64_86-win64.zip.

Скачанный архив нужно распаковать в папку c:\openssl. Затем туда же нужно скопировать файл конфигурации и скрипт для автоматизации всего процесса. Архив с этими файлами можно скачать здесь. (Я не являюсь его автором, я нашел его на просторах интернета.)

Запускаем файт generate.bat, отвечаем на вопросы в консоли и в итоге получаем заветный сертификат. В моем примере это файлы server.crt, server.key.

Как установить SSL сертификат в маршрутизатор

Заходим в меню «Объекты» — > «Key Ring» и нажимаем кнопку [Добавить].

Придумываем имя под которым устанавливаемый сертификат будет виден в консоли маршрутизатора, отмечаем чек-бокс, выбираем опцию «Загрузить X.509 Сертификат» и нажимаем кнопку [OK].

Нажимаем кнопку [Обзор]…

… и выбираем файл сертификата с расширением crt (у меня в примере это server.crt), нажимаем кнопку [Открыть].

Загружаем сертификат, нажимая кнопку [Загрузить X.509 сертификат]

Теперь нам в дополнение к загруженному сертификату необходимо загрузить в маршрутизатора частный ключ. Для этого опять нажимаем кнопку [Обзор]…

… и выбираем файл с расширением key (в моем примере это server.key), нажимаем кнопку [Открыть].

Загружаем файл, нажимая кнопку [Загрузить X.509 частный ключ]

Переходим в меню «Система» -> «Device» -> «Remote Management» и нажимаем кнопку [Расширенные настройки]

В выпадающем меню «HTTPS Root Certificates» выбираем необходимый нам сертификат. Сохраняем настройки и перезагружаем маршрутизатор.

Проверка установленного сертификата

Подключаемся к маршрутизатору с помощью браузера FireFox и видим знакомое предупреждение о непроверенном защищенном соединении и предложение подсоединится на свой страх и риск.

Особенности установки сертификата

Порядок действий по копированию сертификата в DFL-860E показан на основе прошивки 10.Х, которая отличается внешним видом от предыдущих версий (вы можете ее скачать на официальном сайте — http://tsd.dlink.com.tw/). Для подключения к веб интерфейсу маршрутизатора использовался браузер Internet Explorer 11 и операционная система Windows 8.1 Pro x64.

Благодарности

При написании статьи были использованы следующие источники:

• http://www.dlink.ru/ru/faq/92/924.html
• http://support.entensys.com/ru/Knowledgebase/Article/View/460/0/kk-ustnovit-smopodpisnnyjj-ssl-sertifikt-v-pochtovyjj-server
• http://sysadmins.ru/topic443131.html
• http://forum.dlink.ru/viewtopic.php?f=3&t=169584