1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вт апр 16, 2024 09:00

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 18 ]  На страницу Пред.  1, 2
  Предыдущая тема | Следующая тема 
Автор Сообщение
vgo
СообщениеДобавлено: Вт янв 23, 2018 11:55 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
MTRX писал(а):
Я напек как горячих пирожков, на своем сертификатнике таких сертификатов - работают без проблем. Сделал батник и штампую :D

А вот вопросы по этому поводу:
1. В каком формате вы загружаете эти сертификаты в DFL - в двоичном или символьном?
2. Под какой системой Вы выполняете загрузку сертификатов в DFL, заодно и каким браузером?
3. Если грузите сертификаты в символьном формате, какие у Вас коды конца строки?
Вернуться наверх
 Профиль  
 
vgo
СообщениеДобавлено: Вт янв 23, 2018 11:57 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
White Star писал(а):
Что ж, Вам осталось прикрутить новый сертификат на другой сайт и сделать ожидаемый вывод что дело в Вашем ЦС. С корневыми сертификатами все в порядке? С датами?

Так это сделано с самого начала. Новые сертификаты на DFL со старой прошивкой работают. Ругаются, конечно, что не тот subject name, это естественно. Но доступ к WebUI есть. С корневыми сертификатами, с датами, с временем на DFL, с CRL все в порядке (правда, в настройках DFL CRL Disabled)
Вернуться наверх
 Профиль  
 
vgo
СообщениеДобавлено: Вт янв 23, 2018 12:25 
Не в сети

Зарегистрирован: Вт май 19, 2009 16:01
Сообщений: 290
Йес!

Это - ошибка в прошивке DFL. На грабли можно не наступать, и все будет хорошо.

Со старой прошивкой DFL понимал сертификаты в двух видах: в символьном, но надо было удалить все, что было перед строкой -----BEGIN CERTIFICATE----- (а openssl туда много всего писал) или в двоичном (.der)

Поскольку первый вариант требовал ручной работы, а второй получался стандартными средствами openssl, я, естественно, пользовался der форматом.

Так вот: новая прошивка некорректно грузит der формат (зато уже не возражает против строк до -----BEGIN CERTIFICATE-----). Если один и тот же сертификат загрузить в DFL в символьном и двоичном формате, а потом выгрузить, получается кардинально разный результат!
После символьного:
Цитата:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


После двоичного:
Цитата:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

и длина увеличилась на 483 байта.

При этом DFL не возражает и показывает одинаковое содержимое сертификатов, но браузеры, получив такого монстра, предсказуемо сходят с ума.

Сейчас я перезагрузил нужный мне сертификат и все работает.

Также к новой прошивке есть дополнительные замечания:
1. Грузить приватный ключ в открытом виде - фууу.... для этого есть защищенный паролем формат .pem
2. Alt names не показываются при просмотре сертификата. Они, правда, и в старой не показывались.
3. При попытке экспортировать свежезагруженный сертификат до сохранения и активации конфига DFL балдеет... ни экспорта, ни возражений по существу - просто пустая страница. Пустяк, но поведение некорректно.

Вот и все. Всем спасибо за обсуждение.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 2 из 2
  [ Сообщений: 18 ]  На страницу Пред.  1, 2

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 36

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB