|
Zaufany certyfikat SSL dla połączeń https w tomato
|
| Efamon |
Dodano 25-01-2016 22:11
|
User
Posty: 15
Dołączył: 25/01/2016 21:47
|
Witam wszystkich 
Ostatnio musiałem odnowić certyfikat na StartSSL dla GUI Tomato i mam problem, choć z tego co sprawdziłem dotyczy również certyfikatów generowanych przez WoSign. Na Chrome oraz IE certyfikaty są rozpoznawane poprawnie (tzn. z całą ścieżką certyfikacji), natomiast Firefox 43.0.4 ma problem z certyfikatami pośrednimi, jakby w ogóle ich nie wczytywał:
Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.
Serwer może nie wysyłać właściwych certyfikatów pośrednich.
Import dodatkowego certyfikatu głównego może okazać się konieczny.
Nadmienię, że w pliku /etc/cert.pem znajdują się 3 certyfikaty w kolejności: certyfikat dla serwera, certyfikat pośredni oraz certyfikat roota. Mam Tomato w wersji Tomato Firmware 1.28.0000 MIPSR2-132 K26 USB AIO (RT-N).
Czy ktoś wie gdzie może tkwić problem i jak go rozwiązać? |
| |
|
|
| kpietrek |
Dodano 24-04-2016 17:17
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
Cytat qrs napisał(a):
udało się, wygenerowałem cert dla ?????.noip.me ważny na 3 lata za free 
certyfikat wygenerowałem w serwisie https://buy.wosign.com
Common Name (CN) zweryfikowałem tak jak napisał shibby
Cytat shibby napisał(a):
3) autoryzacja WWW. Należy umieścić na stronie ze swoją domeną plik z odpowiednim wpisem. I to jesteś w stanie wykonać używając chociażby wbudowanego w tomato nginxa na porcie 80.
Podpowiedzcie proszę jak tego ngixa odpalić by zweryfikowac domenę dla potrzeb certyfikatu. Robie to pierwszy raz.
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| qrs |
Dodano 10-05-2016 15:17
|
Maxi User
Posty: 749
Dołączył: 02/12/2012 00:55
|
Cytat przemasisko napisał(a):
O fajna inicjatywa, Let's Encrypt! Tylko czy certyfikat będzie można wykorzystać w subdomenie? (np. router.serwer.pl). Darmowy StartSSL to potrafi póki co.
let's encrypt jak otrzymujesz to też nie jest zaufany
---
Netgear R7000 • Netgear WNR3500L v2 • MikroTik hAP ac^2 • TP-LINK M7650
|
| |
|
|
| kpietrek |
Dodano 15-02-2017 13:51
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
Po wgraniu nowego softu i czyszczeniu NVRAM jak teraz to ustawić?? Wszystko od początku?? Mam wcześniej wygenerowany cert ssl na wosign.com. Jak przywrócić ponownie ten certyfikat ??
Połączony z 15 luty 2017 19:36:02:
Ok. Już sobie poradziłem.
Edytowany przez kpietrek dnia 15-02-2017 19:36
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| lulo |
Dodano 17-02-2017 16:24
|
User
Posty: 150
Dołączył: 20/10/2010 11:31
|
1.) Czy mógłby ktoś szczegółowo rozwinąć kwestię (wytłuszczonym tekstem) z postu #1-ego ?:
Cytat:
(...)
2) walidacja posiadania zgłoszonej domeny poprzez adres email (konieczność posiadania maila admin@domena, administrator@domena, webmaster@domena etc) lub poprzez wpis CNAME w DNSie
(...)
Ma to związek z niemożnością (a raczej sporą uciążliwością) stawiania specjalnie dla samego kodu weryfikacyjnego dla domeny serwera poczty (dotyczy StartSSL).
2). Czy można zastosować, a jeżeli tak to jak w praktyce, opisany sposób w poście #63, tyle że w lede/openwrt (stosowna składnia, o ile jest ta sama funkcjonalność) ?:
Cytat
(...)
A żeby działał ci lokalnie to w konfiguracji dnsmasq wystarczy dodać wpis by ta domena dla lokalnych zapytań przyjmowała adres ip lokalny np.,
address=/moja.domena.pl/192.168.1.1
Czyli jeżeli z zewnątrz, z internetu ktoś wywoła adres subdomeny np. poczta.domena.pl (który jest lokalnym adresem domenowym wewnętrznego ip, na którym słucha coś - tu w przykładzie np. jakiś serwer poczty), to dnsmasq przetłumaczy to, iż skieruje to na adres lokalny (lokalne ip) ? - dobrze zrozumiałem ?
Bo w LAN to faktycznie wydaje się to nieco bez sensu...
Połączony z 17 luty 2017 16:44:44:
Odnoszę wrażenie, że temat zaledwie został poruszony i brak jakichś na prawdę wyczerpujących opisów dla owych darmowych certów StartSSL, Let's Encrypt, Wosign w kontekście zastosowania tego dla routera i jednocześnie na potrzeby sieci lokalnej za tym routerem...
Połączony z 17 luty 2017 16:48:13:
Tak na marginesie Wosign już zaprzestał możliwości generowania certów domenowych za free.
Edytowany przez lulo dnia 17-02-2017 16:48
|
| |
|
|
| shibby |
Dodano 17-02-2017 17:04
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Ten opis pokazuje jak dodać posiadamy już certyfikat do routera a nie jak go wygenerować. Jeżeli jest potrzeba przedstawienia dokładniejszego procesu generowania certyfikatu to wystarczy poprosić.
Walidacja za pomocą wpisu w DNSie polega na hmm wpisu w DNSie Nie wiem jak to dokładniej wytłumaczyć. Wybierając tą opcję jesteśmy proszeni by zrobić odpowiedni wpis w DNSie. Ten sposób walidacji zadziała oczywiście gdy posiadamy własną domenę a nie np. tą z dynDNSa.
Na domenę dynDNS lepiej wybrać walidację WWW, gdzie jesteśmy proszeni wstawić pliczek html na serwerze, na który wskazuje domena np. http://moja.domena.pl/blablabla123.html. Gdy wskazany plik będzie dostępny pod wskazanym adresem to znaczy, że mamy prawa do tej domeny.
Jeżeli zaś chodzi o kwestię konfiguracji dnsmasq w openwrt to wystarczy dodać powyższy wpis w plik /etc/dnsmasq.conf, choć można zrobić to też przez /etc/config/dhcp (tu musisz użyć odpowiedniej składni UCI).
https://wiki.openwrt.org/doc/howto/dhcp.dnsmasq
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| lulo |
Dodano 17-02-2017 17:17
|
User
Posty: 150
Dołączył: 20/10/2010 11:31
|
@shibby - ale co wpisać w polu CNAME (konkretnie) ? Czy to zadziała na StartSSL ?
Mam raczej na myśli darmową domenę na freenom.com, gdzie właśnie można edytować wspomniany rekord CNAME (słynne domeny *.tk za free na max. rok - tak to wygląda obecnie).
Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis ? Bo w Tomato ta składnia wygląda chyba nieco inaczej - to czy użyję uci, czy nano, vi to przecież bez znaczenia - chodzi o to jak taki wpis docelowo w openwrt/lede ma wyglądać.
Edytowany przez lulo dnia 17-02-2017 17:28
|
| |
|
|
| shibby |
Dodano 17-02-2017 20:23
|
SysOp
Posty: 17109
Dołączył: 15/01/2009 20:30
|
Cytat ale co wpisać w polu CNAME (konkretnie) ?
to co ci każe wystawca certyfikatu podczas składania żądania o certyfikat (CSR). Przykładowo dla Comodo jest to:
.yourdomain.com. CNAME .comodoca.com.
Cytat Co do dnsmasq, czyli najprościej wpis w /etc/config/dhcp - konkretnie jak ma wyglądać taki wpis
config 'dhcp' 'lan'
list 'address' '/moja.domena.pl/192.168.1.1'
powinno zadziałać.
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM Router: OpenWRT 22.03.4
VM NAS: Synology SA6400
VM VPS: Debian, WWW, Home Assistant
Switch: Netgear MS510TXPP
Switch: Ubiquiti USW-Flex-mini - szt. 2
Wi-Fi: Ubiquiti U6-Lite - szt. 2
|
| |
|
|
| lulo |
Dodano 18-02-2017 05:02
|
User
Posty: 150
Dołączył: 20/10/2010 11:31
|
Czyli jednak nie da się wykorzystać metody z CNAME w serwisie/u wystawcy cert. StartSSL - tam niestety jest zapytanie tylko o adres e-mail ustawiony na domenie...czyli serwer poczty trzeba jednak stawiać.
Jeżeli się mylę to poproszę o jakiś tutek krok po kroku, jak uzyskać to na StartSSL. No niby w jednej z zakładek wizarda jest coś podobnego (z wykorzystaniem csr swojego certa), ale chyba nie dla typu DV1 niestety (czyli tylko dla domeny).
Generalnie certy na StartSSL ze względu na czas ważności jak i uniwersalność oraz większą elastyczność w wykorzystaniu ich w swoim WAN/LAN wyglądają ogólnie najkorzystniej - z tych za free oczywiście.
Co do dnsmasq to dziękuję za rozjaśnienie - chociaż nie wiem czy to zadziała, bo w openwrt/lede, w stosownych tutkach brak opcji "list address", natomiast reszta wygląda jak zwykłe przekierowanie domeny na IP....no nic, w wolnej chwili to przetestuję. |
| |
|
|
| mundeczek |
Dodano 07-10-2017 18:22
|
User
Posty: 5
Dołączył: 25/03/2014 19:23
|
Co do walidacji przez www na dynDNS to postawiłem sobie szybko Apache przez portable xampp i po przekierowaniu portów walidacja zadziałała 
Tyle, że nie chce przejść https://domena.dynDNS
Może ktoś jakąś podpowiedź podrzuci?
Połączony z 07 październik 2017 21:43:25:
Jednak zadziałało
Certyfikat generowałem na stronie https://www.sslforfree.com/
Ważny przez 90 dni.
Edytowany przez mundeczek dnia 07-10-2017 21:43
|
| |
|
|
| overflow2 |
Dodano 08-10-2017 07:58
|
Super User
Posty: 612
Dołączył: 28/01/2008 08:36
|
Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.
Asus RT-AC56U FT-AIO
|
| |
|
|
| U53R_ |
Dodano 26-11-2017 00:47
|
User
Posty: 5
Dołączył: 16/10/2016 18:14
|
lestencrypt |
| |
|
|
| Steel_Rat |
Dodano 26-11-2017 10:59
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Cytat overflow2 napisał(a):
Wynalazł może ktoś darmową alternatywę dla wosign? Chrome już całkowicie dropuje stronę na tym certyfikacie.
Oczywiście Let's Encrypt.
Taki mały tutorial dla entwer-ng (na optware-ng też powinno działać):
https://github.com/Entware-ng/Entware...7s-Encrypt
Jak ktoś używa LEDE z LUCI to można też zainstalować pakiet luci-app-acme
Ja osobiście przeszedłem na certyfikat z Let's Encrypt.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| overflow2 |
Dodano 27-11-2017 08:14
|
Super User
Posty: 612
Dołączył: 28/01/2008 08:36
|
Dzięki Steel_Rat właśnie tego szukałem, bo widziałem na eko.one jest generowanie pod lede i szukałem czegoś do tomato. Przetestuję.
Połączony z 27 listopad 2017 19:21:55:
Udało mi się wygenerować cert na wbudowanym nginx-ie, muszę jeszcze wyczaić jak to ustawić w automacie... Niestety wszystkie ustawienia znikają po restarcie routera.
Edytowany przez overflow2 dnia 27-11-2017 19:21
Asus RT-AC56U FT-AIO
|
| |
|
|
| Steel_Rat |
Dodano 27-11-2017 20:06
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Co znika? Generalnie powinno wszystko działać.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| overflow2 |
Dodano 28-11-2017 10:16
|
Super User
Posty: 612
Dołączył: 28/01/2008 08:36
|
Chodzi mi o to, że ja wygenerowałem certy na nginx-ie który jest wkompilowany w obraz (nie ten z entware) no i jak wiadomo, wszystkie ustawienia są ładowane do RAMu więc po restarcie całość znika. Certy oczywiście skopiowałem na dysk i je mam, tylko samo konfigurowanie znika.
Przydałoby się zrobić taki generator w gui , to już by była bajka.
Asus RT-AC56U FT-AIO
|
| |
|
|
| Steel_Rat |
Dodano 28-11-2017 10:27
|
OL Maniac
Posty: 1831
Dołączył: 29/05/2011 22:24
|
Zawsze możesz w ustawieniach nginx w Tomato podać ścieżkę do pliku conf nginx-a, który masz np W jffs.
WRT3200ACN (WRT32X) + OpenWRT 18.06+światełko 150/150 Mb/s
Asus RT-AC68UvE1 + RMerlin + Entware
Netgear WNR3500Lv2 + DDWRT
|
| |
|
|
| damianssj661 |
Dodano 27-05-2018 00:32
|
User
Posty: 128
Dołączył: 14/05/2011 20:01
|
Tomato ARM nie obsługuje setfb64. Wklejam rozwiązanie
/etc/cert.pem
cat /opt/ssl/mycert.key > /etc/key.pem
service httpd restart
ASUS RT-AC56U
|
| |
|
|
| kpietrek |
Dodano 17-11-2018 18:03
|
Power User
Posty: 301
Dołączył: 13/07/2009 21:41
|
Powiedzcie bo napotkałem na błędy i nie wiem jak to ugryźć. Próbuję uruchomić ssl przez let's i utknąłem na etapie generowania certfikatu. Wpisuję:
bash ./dehydrated --domain piast.no-ip.org --cron
i dostaję odpowiedź:
root@unknown:/opt/etc/nginx# bash ./dehydrated --domain piast.no-ip.org --cron
# INFO: Using main config file /opt/etc/nginx/config
Processing piast.no-ip.org
+ Signing domains...
+ Generating private key...
+ Generating signing request...
+ Requesting new certificate order from CA...
+ Received 1 authorizations URLs from the CA
+ Handling authorization for piast.no-ip.org
+ 1 pending challenge(s)
+ Deploying challenge tokens...
+ Responding to challenge for piast.no-ip.org authorization...
+ Cleaning challenge tokens...
+ Challenge validation has failed :(
ERROR: Challenge is invalid! (returned: invalid) (result: {
"type": "http-01",
"status": "invalid",
"error": {
"type": "urn:ietf:params:acme:error:connection",
"detail": "Fetching http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg: Timeout during connect (likely firewall problem)",
"status": 400
},
"url": "https://acme-v02.api.letsencrypt.org/acme/challenge/UgpBG8MJ-kMVFo5YsG73DIHqB-BKFX_Itr7ndL_Pfd8/9383143509",
"token": "B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
"validationRecord": [
{
"url": "http://piast.no-ip.org/.well-known/acme-challenge/B3wkTkB7QmHpMWEiP1hC6vg5RQZ4aJ6zNBuAEOJ8jeg",
"hostname": "piast.no-ip.org",
"port": "80",
"addressesResolved": [
"89.72.202.64"
],
"addressUsed": "89.72.202.64"
}
]
})
root@unknown:/opt/etc/nginx#
Powiedzcie co jest tu nie tak? Co powinienem zrobić?
Netgear R7000 + FreshTomato Firmware 2021.2 K26ARM USB AIO-64K
Asus RT-N18U + FreshTomato Firmware 2021.2 K26ARM USB VPN-64K-NOSMP
Asus RT-AC56U + Tomato Firmware 1.28.0000 -138 K26ARM USB AIO-64K
|
| |
|
|
| khain |
Dodano 17-11-2018 19:11
|
Power User
Posty: 335
Dołączył: 25/07/2007 17:09
|
Błąd 400 oznacza, że serwer nie mógł obsłużyć zapytania - nie masz serwera http uruchomionego pod domeną piast.no-ip.org albo (tak jak w logu) port 80 nie jest dostępny od strony WAN.
TP-LINK TL-WDR3600 @ Openwrt - 300/20Mbps
HP ProLiant DL360e Gen8 @ ESXi 7.0.1:2 x Intel Xeon CPU E5-2450L @ 1.80GHz, 160GB RAM ECC, 2x 1TB SSD
ASRock J4205-ITX @ Debian 11 16BG RAM, 2x 1TB SSD, 1x 1TB HDD
|
| |
|
' target='_blank'>Link
