SSL сертификат для мартшрутизатора D-Link DFL-860E
Раздел(ы): SSL сертификаты, Безопасность
Просмотры: 7790
Комментарии: 2
Начиная с середины лета 2015 года популярный интернет обозреватель (браузер) FireFox версии 39 (и более новые версии) перестал заходить в веб-панель администрирования маршрутизатора D-Link DFL-860E. При этом браузер не предлагал как обычно сделать всё на свой страх и риск, а просто отказывался работать. А вот Internet Explorer по старинке ругался, что соединение недостоверное и сертификат нельзя проверить (что правда ведь он самоподписанный), но соглашался продолжить работу.
Как исправить ошибку FireFox в работе с DFL-860E
Причиной такого поведения является недостаточный уровень шифрования (по версии FireFox) в связи с использованием D-Link слишком короткого ключа в самоподписном сертификате. В моем случае его длина на DFL-860E составляла 1022 бита (это не ошибка именно 1022, а не 1024).
Чтобы восстановить нормальную работу браузера FireFox необходимо залить в маршрутизатор новый самоподписанный сертификат с ключом шифрования длинной не менее 1024 бита.
Как создать самоподписанный SSL сертификат (Инструкция для Windows)
Чтобы создать новый SSL сертификат нам понадобится классическое приложение из Linux — OpenSSL. Но естественное скомпилированное уже под Windows. А так как на официальном сайте сейчас отсутствуют бинарные сборки, то качаем их с одного из сайтов партнеров — https://wiki.openssl.org/index.php/Binaries. В данном примере я использовал скомпилированную бинарную сборку с этого ресурса https://indy.fulgan.com/SSL/ — openssl-1.0.2e-x64_86-win64.zip.
Скачанный архив нужно распаковать в папку c:\openssl. Затем туда же нужно скопировать файл конфигурации и скрипт для автоматизации всего процесса. Архив с этими файлами можно скачать здесь. (Я не являюсь его автором, я нашел его на просторах интернета.)
Запускаем файт generate.bat, отвечаем на вопросы в консоли и в итоге получаем заветный сертификат. В моем примере это файлы server.crt, server.key.
Как установить SSL сертификат в маршрутизатор
Заходим в меню «Объекты» — > «Key Ring» и нажимаем кнопку [Добавить].
Придумываем имя под которым устанавливаемый сертификат будет виден в консоли маршрутизатора, отмечаем чек-бокс, выбираем опцию «Загрузить X.509 Сертификат» и нажимаем кнопку [OK].
Нажимаем кнопку [Обзор]…
… и выбираем файл сертификата с расширением crt (у меня в примере это server.crt), нажимаем кнопку [Открыть].
Загружаем сертификат, нажимая кнопку [Загрузить X.509 сертификат]
Теперь нам в дополнение к загруженному сертификату необходимо загрузить в маршрутизатора частный ключ. Для этого опять нажимаем кнопку [Обзор]…
… и выбираем файл с расширением key (в моем примере это server.key), нажимаем кнопку [Открыть].
Загружаем файл, нажимая кнопку [Загрузить X.509 частный ключ]
Переходим в меню «Система» -> «Device» -> «Remote Management» и нажимаем кнопку [Расширенные настройки]
В выпадающем меню «HTTPS Root Certificates» выбираем необходимый нам сертификат. Сохраняем настройки и перезагружаем маршрутизатор.
Проверка установленного сертификата
Подключаемся к маршрутизатору с помощью браузера FireFox и видим знакомое предупреждение о непроверенном защищенном соединении и предложение подсоединится на свой страх и риск.
Особенности установки сертификата
Порядок действий по копированию сертификата в DFL-860E показан на основе прошивки 10.Х, которая отличается внешним видом от предыдущих версий (вы можете ее скачать на официальном сайте — http://tsd.dlink.com.tw/). Для подключения к веб интерфейсу маршрутизатора использовался браузер Internet Explorer 11 и операционная система Windows 8.1 Pro x64.
Благодарности
При написании статьи были использованы следующие источники:
СкачЕнный архив… :)))
Спасибо, исправил!