Имею DFL-260E, прошивка 2.40.04.08-21460 Jun 4 2013

Хочу поставить свой сертификат ему для работы по https, чтобы браузеры не ругались.

Установил на DFL сертификат своего CA (там нет возможности указать, что это - доверенный корневой центр?)

Сгенерировал и установил несколько пар сертификат-ключ. Всех на DFL загрузил нормально, DFL всех показывает (и содержимое - тоже).
Любой можно выбрать для использования при Remote Management.

А вот после загрузки конфигурации получаю сообщение об ошибке:

Attempting to use new configuration data...

Warning W2272/{WWW Server}:
- Could not open web UI certificate "dfl". HTTPS will not be available.
License file successfully loaded.

Я так понимаю, что-то в моих сертификатах не соответствует требованиям сервера HTTPS.

Так какие у него требования к сертификатам?

Я вообще-то свои сертификаты генерирую регулярно. Скажем, Apache их чудненько понимает и использует,
так что считать их совсем уже неправильными не стоит.

PS. Да, статью http://www.dlink.ru/r/faq/92/924.html я видел. Но там все информация о том, какой генерируется сертификат,
скрыта в скрипте и конфигурации. В Centos, который я использую этого скрипта нет, да и конфиг вряд ли тот же.

./build-ca

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Это Вы, извините, о чем?

У меня ничего такого нет.

а как вы генерите сертификаты ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

С помощью openssl, как, кстати, и в статье. В данном случае.
Во всяком случае openVPN у меня нет.

Мне бы требования DFL - ну типа такой-то алгоритм подписи допустим, такой-то - нет, такая-то длина ключа,
такие-то поля обязательны, такие-то - недопустимы...

Ну и если есть разъяснение по полученной диагностике - тоже интересно.

Я, правда, уже готов вытащить и посмотреть, какой он сертификат сам себе сгенерил, но это уже крайность.

возьмите у меня в подписи образа - распакуйте и смотрите

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Безусловно, спасибо.

Только я не совсем понял. Вы предлагаете из образа диска извлечь конфигурацию, из нее - извлечь родной сертификат и его смотреть?
Если так, то его можно получить и проще: из backup конфигурации оно извлекается почти так же просто. По крайней мере, по сравнению
с последующими операциями эти сложности ничтожны.

Или я чего-то не понял? Или этот сертификат там еще где-то есть в уже чистом виде?

Или там есть еще какая-то доступная информация?

поняли правильно ...
я например с сертификатами не заморачивался

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Я тоже не заморачивался до недавних пор. Но вот пошла волна обновлений браузеров, которые теперь
намного строже стали относиться к сертификатам, некоторые так просто отказываются работать,
если сертификат на устройстве не соответствует каким-то их понятиям.

А держать специально необновляемые системы со старыми браузерами - неприятно и неудобно.
Хотя и приходится.

Я на 10 лет 2048 сгенерил и не парюсь с браузерами ))

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Так я тоже с этого начал - 2к и 10 лет. Но она его "прочитать не может". Так же как и на 1к и на 512 бит, вот, разбираюсь, почему.

Сходу вижу, что у Вас сертификат v1.
Интересно, чем еще отличается.

Вы не могли бы свой сертификат мне показать? Это вроде штука несекретная, если без приватного ключа.

Я курить начинал с форума Клавистера
Обсуждалось тут: viewtopic.php?p=931572

Я батники сделал, для автоматизации процесса. Занимает меньше 30 секунд ))

куда серт кинуть? --> в личку.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Там, вроде, больше про борьбу с FF, а у меня DFL сопротивляется.
Информации по тому, каким должен быть сертификат, там немного, хотя что-то есть.

Видимо, надо все-таки сравнивать структуру правильного и неправильного сертификатов,
причем желательно иметь больше правильных.

Киньте, пож., на vgorp@yandex.ru

Ничего, победил iPhone, победю и DFL ))

С этим вопросом разобрались )) можно закрывать тему.
Проблема была в формате.

Вскрыв сохраненный конфиг, обнаружил, что DFL мои сертификаты хранит в весьма странном виде.
openssl у меня генерила формат pem, да еще с большим текстом-комментарием вначале, до строки ----- BEGIN...
Так вот DFL взял все это файло и прокодировал его по base64 (хотя там сертификат уже был в base64).
Не удивительно, что его HTTPS сервер с этим отказывался работать.
Удивительно, что в конфиге DFL правильно показывала содержимое этого сертификата.

Когда я просто сделал сертификат и ключ в формате der (то есть, чистый двоичный формат), все прекрасно сработало.
Причем мой сертификат в бэкапе записался в том же формате, что и родной, то есть, прокодированный один раз.

Ну а дальше я прочитал руководство, пункт 3.8.3. (До этого я руководствовался упомянутым выше FAQ).
В руководстве описана процедура с ручным обрезанием файла pem. Попробовал - это тоже сработало.
При этом в бэкапе сертификат хранится дважды преобразованный по base64.

Так что можно выбирать )) А сервер HTTPS в DFL не умеет пропускать комментарии перед сторокой ------ BEGIN,
что неправильно.