Подскажите как выглядит процесс создания самоподписных сертификатов x509 для использования в маршрутизаторе DIR-130

Ключи создал, но в статусе напротив написано что Validity Invalid, пытаюсь подсунуть ему сертификат, он ругается на "Invalid certificate file format"

примерно так как в документе во вложении.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо за информацию.

И еще вопрос по ходу - прочитав документ во вложении, не увидел явной информации о задании срока действия ключей/сертификата при их создании. Отслеживает ли роутер срок истечения их действия и соответственно потребуется ли задавать требуемый срок действия ключей/сертификата опцией openssl в процессе их генерации?

--day это указывается какое колличество дней будет действителен сертификат.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Искал везде по форуму но не нашел, хотелось бы поглядеть на примере заполнение полученных ключей через www-интерефейс роутера.

Попробовал сгенерировать ключи по приведенной методике, остаются неясности:

Достаточно ли для организации туннеля с использованием x509 заполнить только пункты - Local certificate & Private key и Certificate of Remote Peers или пункт Certificate Authorities тоже используется?

После заполнения ключей почему то значение Validity отображается красным Invalid - это нормально?

Они у вас естественно будут инвалид, потому что вы не регестрировали корневой сертификат с сцециальных организациях а по поводу на примере web интерфейса, покатать мне это будет вам затруднительно. Для начала ознакомьтесь с инструкцией к устройству.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Нельзя ли привести полную процедуру начиная с генерации сертификатов и заполнения их в роутере и еще лучше выложить ее в раздел Поддержка-FAQ-VPN. Это сняло бы кучу подобных вопросов, поскольку там приводятся только примеры с использованием Preshared key и ни одного с x509.

Конечно решит, если как только faq такой появиться но будет несомненно добавлен на сайт, а пока его нет.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо за ваше терпение, ответьте хотя бы правильно ли я делаю?

Сгенерировал cert.pem и key.pem по методике из файла

Вкладка Local certificate & Private key
name: задаю сам произвольное имя?
private key: навожу на файл key.pem
certificate: на файл cert.pem

Вкладка Certificate of Remote Peers
name: задаю сам производльное имя?
certificate: на файл cert.pem удаленной стороны

Вкладка Certificate Authorities
name: задаю сам произвольное имя?
certificate: сюда что?

Доку читал уже раза два, например каково назначение пункта Certifcate Authority

Цитата из доки

Select this option from the drop-down menu to confgure Certifcate Authority (CA) fles to be used with your router. Enter a name for the CA
fle. Click the browse button to look for the CA fle on your computer. Certifcate Authorities:

То что взять и навести на файл понятно - но какой смысл у этого файла - относится ли он к локальной стороне или удаленной и его назначение применительно к организации IPSEC VPN тут вообще ни слова.

Ответьте все таки если пока FAQа не предвидится, может эту тему еще кто то будет искать в форуме:

Если сгенерировать две пары ключей соответственно для локальной стороны (cert1.pem и key1.pem) и удаленной (cert2.pem и key2.pem)

Правильно ли выглядит заполнение

Вкладка Local certificate & Private key
name: что тут?
private key: key1.pem
certificate: cert1.pem

Вкладка Certificate of Remote Peers
name: что тут?
certificate: cert2.pem

Вкладка Certificate Authorities
name: что тут?
certificate: и тут?

Создал и заполнил только пункты

Local certificate & Private key
name: side1
private key: key1.pem
certificate: cert1.pem

Certificate of Remote Peers
name: side2
certificate: cert2.pem

Начинаю в VPN setting настраивать параметры туннеля Add IPSEC, заполняю все поля, задаю в качестве
Local identity - side1
Certificates - side2

пытаюсь сохранить настройки и тут вылетает ошибка что "Preshared key lenght must be 8 - 64 bytes"

Причем тут Preshared key - я вроде явно указал что буду использовать сертификаты.

Кто объяснит?

Прошивка стоит самая последняя http://ftp.dlink.ru/pub/Router/DIR-130/ ... 121B02.bin

CA сертификат, это корнефой сертивикат от вашего сервера сертификатов, так как его нет, он у вас использоваться не будет. В вашем случае будет использоваться только локальный тертификат и удаленный. Так же не забываем про иснтрукции на русском http://ftp.dlink.ru/pub/Router/DIR-330/ ... US_1_1.pdf

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Проблем нет и с английским, просто элементарно не хватает примера реализации туннеля IPSEC начиная с генерации сертификатов и заканчивая настройкой туннеля с помощью www-интерфейса роутера. В той же русской доке все тоже переведенное, но перевод терминов или пунктов не дает понять их конкретный смысл применительно к прикладной задаче - построению туннеля. Тема использования сертификатов в процессе авторизации при построении туннелей еще не настолько распространена и FAQ решил бы в большей части эти пробелы.

Вопрос по настройке синхронизации времени роутера по NTP:

Можно ли каким-то способом задать список собственных серверов для синхронизации времени, в меню предлагаются только жестко прописанные ntp.dlink.com и еще какой то, задать свой ntp с помощью www-интерфейса нельзя.
Есть какой то другой способ доступа к роутеру, например через CLI или как можно задать свои NTP-сервера?

Еще может это тоже относится к заданному вопросу про NTP, выставлена временная зона GMT+6