Configurando um certificado HTTPS personalizado em um Switch Netgear (por exemplo, GS724T)

1

Como é muito chato obter o aviso de certificado inválido toda vez que eu me conecto ao meu switch, quero instalar um certificado HTTPS personalizado assinado por uma Autoridade de Certificação em minha confiança de máquinas. Mas não consigo descobrir a ridícula interface de configuração do certificado da Netgear. Só dá a opção de fazer upload do seguinte:

  • Arquivo PEM de certificado raiz confiável SSL
  • Arquivo PEM de certificado de servidor SSL
  • Arquivo PEM do SSL Encryption Weak Encryption
  • Arquivo PEM do parâmetro de criptografia strong SSL DH

Não há opção de carregar uma chave ou gerar um CSR no comutador (como acontece com qualquer sistema de segurança sensato). Os fóruns da Netgear indicam que há alguma combinação mágica de como fazer isso, mas a maioria das postagens está incompleta ou não aconselha como fazer com que um certificado assinado pela CA funcione (apenas uma chave autoassinada e solitária). O manual oficial é ainda menos útil, dizendo nada mais do que “[assegure] que o arquivo está no formato correto”.

Qual é o caminho certo para configurar isso?

    
por Andrew Marshall 09.10.2016 / 16:42

3 respostas

1

Primeiro, isso deve funcionar em qualquer firmware Netgear com uma interface semelhante, mas para referência, este é um GS724Tv4 com firmware 6.3.0.9.

Vou assumir o conhecimento existente de como criar uma CA raiz, CA intermediária e criar e assinar certificados (se não, ver, por exemplo, Autoridade de Certificação OpenSSL ). Precisamos do seguinte:

  • Certificado de CA raiz ( root.cert.pem )
  • Certificado de CA intermediário ( intermediate.cert.pem )
  • Certificado do servidor com nome comum para o comutador ( switch.cert.pem )
  • Chave do servidor correspondente ao certificado do servidor ( switch.key.pem )
  • DH params de 1024 bits, talvez 2048 bits seria melhor ( dhparams.pem )

Crie dois arquivos:

  • A cadeia de certificados: cat root.cert.pem intermediate.cert.pem > ca-chain.pem
  • O certificado + chave: cat switch.cert.pem switch.key.pem > switch-combined.pem

Na interface do usuário da Web do comutador:

  1. Segurança → Acesso → HTTPS → Configuração HTTPS → Defina “Modo Administrador HTTPS” para “Desativar”, Aplicar.
  2. Segurança → Acesso → HTTPS → Gerenciamento de certificados → Defina “Excluir certificados”, Aplicar.
  3. Manutenção → Download → Download de arquivo HTTP
    1. Selecione “Arquivo PEM SSL DH Strong Encryption Parameter” e escolha dhparams.pem , Aplicar.
    2. Selecione “Arquivo PEM do Certificado Raiz Confiável SSL” e escolha ca-chain.pem , Aplicar.
    3. Selecione “Arquivo PEM do Certificado do Servidor SSL” e escolha switch-combined.pem , Aplicar.
  4. Segurança → Acesso → HTTPS → Gerenciamento de certificados → Verificar indica “Certificado presente: Sim”.
  5. Segurança → Acesso → HTTPS → Configuração HTTPS → Defina “Modo Administrador HTTPS” para “Ativar”, Aplicar.

Agora, você deve ter HTTPS em funcionamento com seu certificado assinado pela CA.

    
por 09.10.2016 / 16:42
0

Não tente usar um parâmetro de criptografia DH Strong de 2048 bits, pois isso impediu que o modo de administração HTTPS funcionasse. A guia de gerenciamento de certificados mostraria que um certificado estava presente.

No entanto, a interface da GUI daria erros sobre não conseguir encontrar algumas funções ausentes ao tentar habilitar o modo de administração de HTTPS e, embora a GUI mostrasse que estava habilitada, nada escutaria na porta designada.

Desativar o modo de administração de HTTPS, excluir os certificados e seguir a sequência de carregamento de certificados acima com um parâmetro de criptografia strong DH de 1024 bits fez com que funcionasse.

    
por 19.10.2016 / 02:51
0

Eu encontrei um problema com os switches ProSAFE M4300 que fizeram com que as etapas de Andrew Marshall não funcionassem.

O certificado "Trusted Root" deve ser apenas o certificado da CA Raiz e não incluir o intermediário. O "arquivo de certificado do servidor" deve conter a chave, o certificado do servidor e, em seguida, quaisquer intermediários (excluindo a raiz). Seguir a solução original postada resultou em erros do protocolo SSL.

Todos os outros passos permaneceram os mesmos.

    
por 12.05.2018 / 03:49