|
HTTPS certyfikat
|
| grzechu84 |
Dodano 17-03-2008 09:15
|
User
Posty: 103
Dołączył: 17/02/2007 17:39
|
Witam,
Zainstalowałem sobie obsługę SSL, ustaliłem regułki - niby wszystko działa wporządku ale jak się loguję mozilla 2.0.0.12 wyskakuje monit załączony na obrazku.
Co mogę zrobić aby go uaktualnić?
Dzięki
Edytowany przez grzechu84 dnia 17-03-2008 09:17
|
| |
|
|
| gurupl |
Dodano 17-03-2008 13:08
|
User
Posty: 144
Dołączył: 22/11/2006 04:07
|
a nie lepiej wygenerowac go na nowo?
----- Gateway -----
3x WRT54GL 1.1@OpenWRT White Russian 0.9
2x WRT54GL 1.1@DD-WRT + Optware @ 1GB SD HAMA
----- Hotspots / WDS -----
10x WRT54GL 1.1@DD-WRT
7x Buffalo WHR-G54S@DD-WRT
2x Buffalo WHR-HP-G54@DD-WRT
3x WRT54GS v6 @DD-WRT micro
1x AS
|
| |
|
|
| grzechu84 |
Dodano 17-03-2008 13:33
|
User
Posty: 103
Dołączył: 17/02/2007 17:39
|
ale dopiero co to zrobiłem... jasne, że to zrobie ale czemu odrazu po wygenerowaniu jest przedawniony ?? |
| |
|
|
| bigl |
Dodano 17-03-2008 15:09
|
Maxi User
Posty: 997
Dołączył: 17/05/2006 00:12
|
Moja teoria:
Certyfikat jest generowany z ważnością na rok, ale niestety jeszcze przed pobraniem z serwera NTP aktualnego czasu. Stąd "domyślna" data 2001-01-01. Po aktualizacji czasu od razu staje się nieważny.
Rozwiązania są dwa:
- modyfikacja firmware tak żeby generacja certyfikatu była po pobraniu czasu z serwera NTP
- modyfikacja firmware tak żeby certyfikat był generowany z czasem ważności np. 10 lat - tak żeby ważność liczona od 2001-01-01 była OK teraz i jeszcze za parę miesięcy/lat.
Router: Netgear R7000 + FreshTomato (latest)
Wi-Fi: Ubiquiti U6-Lite
NAS/HomeLab: GMKTec NucBox G3 + Ubuntu 24.04 Server + WD My Book Essential 8TB
Players: Android TV (Nokia Streaming Box 8010) / Odroid N2+ with Coreelec
|
| |
|
|
| mkaiser |
Dodano 22-03-2008 15:27
|
User
Posty: 72
Dołączył: 15/03/2008 20:22
|
Cytat bigl napisał/a:
Rozwiązania są dwa:
- modyfikacja firmware tak żeby generacja certyfikatu była po pobraniu czasu z serwera NTP
wpadłem w tę sam dołek tj najpierw niestety poinstalowałem pakiety do SSLa (matrixtunell) a dopiero później podpiąłem klienta NTP.
Interesuje mnie w/w metoda. W przypadku generowania klucz SSH no mogę sobie generować co minutę nowy. Rozumiem, że w przypadku SSLa mechanizm jest podobny zatem mogę sobie wygenrować nowy, ale jak? 
Jedyna recepa jaką odnalazłem to ta:
cd /etc/stunnel
openssl req -new -x509 -keyout stunnel.pem -out stunnel.pem -days 365 -nodes
ale ona dotyczy innego kliena, ja posiadam matrixtunnel 0.2-1 i towarzyszące temu pakietowi biblioteki.
Jak dla tego pakietu ponownie wygenerować certyfikat?
W katalogu /etc/ssl mam:
drwxr-xr-x 1 root root 0 Sep 29 09:11 certs
-rw-r--r-- 1 root root 1192 Jan 1 2000 matrixtunnel.cert
-rw-r--r-- 1 root root 1078 Jan 1 2000 matrixtunnel.csr
-rw-r--r-- 1 root root 1675 Jan 1 2000 matrixtunnel.key
-rwxr-xr-x 1 root root 1379 Jan 8 21:04 openssl.cnf
drwx------ 1 root root 0 Sep 29 09:11 private |
| |
|
|
| obsy |
Dodano 22-03-2008 16:11
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
Certyfikaty generowane są przez webif i z poziomu webif macie możliwość ich ponowanego wygenrowania. Kod odpowiadający za to to:
is_package_installed "openssl-util"
if [ "$?" = "0" ] then
for llib in $inst_links; do
llink=$(echo "$llib" | sed 's/\/tmp//')
ln -s $llib $llink
[ "$?" = "0" ] && libsymlinks="$libsymlinks $llink"
done
if [ -z "$(ps | grep "[n]tpd\>")" ] then
is_package_installed "ntpclient"
[ "$?" != "0" ] && {
echo "@TR<> ..."
rdate -s 0.openwrt.pool.ntp.org
}
fi
export RANDFILE="/tmp/.rnd"
dd if=/dev/urandom of="$RANDFILE" count=1 bs=512 2>/dev/null
(openssl genrsa -out /etc/ssl/matrixtunnel.key 2048; openssl req -new -batch -nodes -key /etc/ssl/matrixtunnel.key -out /etc/ssl/matrixtunnel.csr; openssl x509 -req -days 365 -in /etc/ssl/matrixtunnel.csr -signkey /etc/ssl/matrixtunnel.key -out /etc/ssl/matrixtunnel.cert)
rm -f "$RANDFILE" 2>/dev/null
unset RANDFILE
fi
czyli trzeba zainstalować openssl-util a poźniej juz normalnie przez openssl jak stoi wyżej.
|
| |
|
|
| mkaiser |
Dodano 22-03-2008 17:04
|
User
Posty: 72
Dołączył: 15/03/2008 20:22
|
Cytat obsy napisał/a:
Certyfikaty generowane są przez webif i z poziomu webif macie możliwość ich ponowanego wygenrowania.
przepraszam, czy to mam rozumieć w ten sposób, że gdzieś na webif przegladając jakieś podstrony powieniem natrafić na button lub link który zainicjuje wygenerowanie certyfikatu? jesli tak to gdzie???
openssl-util -mam ten pakiet, ale jak mogę wykonać polecenie "jak wyżej" //to jak wyzje dot kodu źrodłowego, który podałeś czy tego polecenia ktore mozna znależź na openwrt.pl:
ktore dotyczy pakieu stunel:
openssl req -new -x509 -keyout stunnel.pem -out stunnel.pem -days 365 -nodes
jak ja mam matrixa. Oto pakiety ktore mam zainstalowane:
Uninstall base-files-brcm-2.4 10-10555
Uninstall bridge 1.0.6-1
Uninstall busybox 1.4.2-2
Uninstall dnsmasq 2.39-1
Uninstall dropbear 0.50-2
Uninstall haserl 0.8.0-2
Uninstall iptables 1.3.7-1
Uninstall kernel 2.4.34-brcm-1
Uninstall kmod-brcm-wl 2.4.34+4.80.53.0-1
Uninstall kmod-diag 2+2.4.34-brcm-1
Uninstall kmod-fs-ext2 2.4.34-brcm-1
Uninstall kmod-fs-ext3 2.4.34-brcm-1
Uninstall kmod-fs-vfat 2.4.34-brcm-1
Uninstall kmod-ipt-nathelper 2.4.34-brcm-1
Uninstall kmod-ppp 2.4.34-brcm-1
Uninstall kmod-pppoe 2.4.34-brcm-1
Uninstall kmod-scsi-core 2.4.34-brcm-1
Uninstall kmod-switch 2.4.34-brcm-1
Uninstall kmod-usb-core 2.4.34-brcm-1
Uninstall kmod-usb-printer 2.4.34-brcm-1
Uninstall kmod-usb-storage 2.4.34-brcm-1
Uninstall kmod-usb-uhci-iv 2.4.34-brcm-1
Uninstall kmod-usb2 2.4.34-brcm-1
Uninstall kmod-wlcompat 2.4.34+brcm-6
Uninstall libgcc 3.4.6-10
Uninstall libmatrixssl 1.2.4-1
Uninstall libncurses 5.6-1
Uninstall libpthread 0.9.28-10
Uninstall matrixtunnel 0.2-1
Uninstall mtd 5
Uninstall nano 2.0.6-1
Uninstall nas 4.80.53.0-1
Uninstall ntpclient 2003_194-4
Uninstall nvram 1
Uninstall openssl-util 0.9.8e-1
Uninstall p910nd 0.7-3
Uninstall ppp 2.4.3-8
Uninstall ppp-mod-pppoe 2.4.3-8
Uninstall uclibc 0.9.28-10
Uninstall webif 0.3-8
Uninstall webif-lang-pl 0.3-8
Uninstall wireless-tools 29-1
Uninstall wlc 4.80.53.0-1
Edytowany przez mkaiser dnia 22-03-2008 17:06
|
| |
|
|
| obsy |
Dodano 22-03-2008 17:12
|
VIP
Posty: 5775
Dołączył: 31/10/2006 20:06
|
No uruchom po prostu to polecenie z palca przez ssh (putty).
Certyfikaty są generowane przez webif w momencie instacji matrixtunnela. Więc: trzeba wyinstalować matrixtunnel, usunąć ręcznie certyfikaty. ustawić poprawnie date, mieć zainstalowane openssl-utils i koniecznie z poziomu webif powiedzieć mu żeby znów zainstalowal matrixtunnel. Certyfikaty powinny zbudować się od nowa i wszystko powinno być ok *).
*) powinno, bo ja nie używam webif wiec nawet tego nie sprawdzę.
|
| |
|
' target='_blank'>Link
