17 Sierpień 2017 11:41:49
Nawigacja
· Strona Główna
· Galeria
· Forum
· Linki

· Tomato by Shibby

· Wiki-OpenWrt
· Wiki-DD-WRT
· Emulatory sprzętu

Darowizna
Ostatnio na forum
Najnowsze tematy
· Jak ustawić Tomato d...
· Instalacja Newcs na ...
· [MOD] Tomato by shibby
· [MOD] Tomato by kille72
· Netgear R6400 - tańs...
· netiaspot + Linksys ...
· (RT-AC66U) 1.28.0000...
· [S] Asus RT-AC56U
· Linksys EA3200 i pro...
· [S] Laptop ASUS R500...
· VLAN VID 102 Dla GPON
· OptWare - co to jest...
· Tomato upgrade z 1.1...
· Skrypt w zakładce fi...
· WNR3500L v2 + zyxel ...
· zakup routera do Net...
· Monitorownie odwiedz...
· Układy radiowe stoso...
· Uwalony EA6900 - czy...
· Komenda AT wymuszeni...
Najciekawsze tematy
· [MOD] Tomato by s... [13504]
· [MOD] Tomato by k... [653]
· OptWare - co to j... [527]
· Netgear R6400 - t... [85]
· Jak ustawić Tomat... [35]
· Skrypt w zakładce... [8]
· Instalacja Newcs ... [7]
· Monitorownie odwi... [7]
· WNR3500L v2 + zyx... [5]
· Linksys EA3200 i ... [4]
· zakup routera do ... [4]
· netiaspot + Links... [3]
· VLAN VID 102 Dla ... [3]
· Tomato upgrade z ... [2]
· [S] Laptop ASUS R... [1]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
41% [123 głosów]

Broadcom ARM
Broadcom ARM
49% [147 głosów]

Atheros
Atheros
6% [17 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
0% [1 głos]

Intel/AMD/VIA
Intel/AMD/VIA
1% [3 głosów]

Żaden z powyższych
Żaden z powyższych
3% [8 głosów]

Ogółem głosów: 303
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38

Archiwum ankiet
Reklama
Twoje IP
54.80.198.222
Reklama
Zobacz temat
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj temat
Zaufany certyfikat SSL dla połączeń https w tomato
shibby Dziekuje za dotacje
1. Wstęp

Tomato posiada wbudowany generator certyfikatów SSL na potrzeby połączeń HTTPS. Nie mniej jednak tak wygenerowany certyfikat jest wykrywany przez przeglądarki jako niebezpieczny (nie jest podpisany przez centrum autoryzujące, nie jest zaufany).

openlinksys.info/images/ssl0.png

openlinksys.info/images/ssl01.png

Istnieje jednak sposób by użyć zakupionego zaufanego certyfikatu.


2. Wymagania

Potrzebujemy domenę. Najlepiej wykupiona domena, gdyż będziemy musieli zweryfikować prawo do jej posiadania (adres email, wpis cname w dns). Szczerze powiem, nie wiem jak sprawdzi się tu dynamiczna domena. Często jednak można trafić na promocję, w której możemy zakupić domenę na rok za grosze lub nawet za darmo. Na potrzeby poradnika przyjmijmy że będzie to domena router.openlinksys.info


3. Wygenerowanie pliku klucza (key) i żądania (csr)

W konsoli wydajemy komendę:
cd /tmp
openssl req -nodes -newkey rsa:2048 -keyout router.openlinksys.info.key -out router.openlinksys.info.csr


Odpowiadamy na pytania. Najważniejsze by w polu Common Name podać nazwę swojej domeny.

Oto wynik mojego wykonania komendy (na czerwono zaznaczyłem udzielone odpowiedzi):
[root@router /tmp]$ openssl req -nodes -newkey rsa:2048 -keyout router.openlinksys.info.key -out router.openlinksys.info.csr
Generating a 2048 bit RSA private key
.............................................................................................................................................+++
..........+++
writing new private key to 'router.openlinksys.info.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:PL
State or Province Name (full name) [Some-State]:Poland
Locality Name (eg, city) []:Wroclaw
Organization Name (eg, company) [Internet Widgits Pty Ltd]:router
Organizational Unit Name (eg, section) []:IT
Common Name (eg, YOUR name) []:router.openlinksys.info
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@router /tmp]$ ls router*
router.openlinksys.info.csr router.openlinksys.info.key



4. Uzyskanie certyfikatu

Na stronie comodo.com można zamówić w pełni darmowy, zaufany certyfikat ważny 90dni. Taki certyfikat w zupełności wystarczy dla naszych potrzeb. Oczywiście można zakupić sobie płatną wersję na rok, dwa itd...

Nie będę opisywał tu całego procesu pozyskania certyfikatu. W skrócie sprowadza się on do:
1) wypełnienia formularza, w którym to wklejamy zawartość pliku csr wygenerowanego wcześniej
2) walidacja posiadania zgłoszonej domeny poprzez adres email (konieczność posiadania maila admin@domena, administrator@domena, webmaster@domena etc) lub poprzez wpis CNAME w DNSie
3) potwierdzenie zamówienia certyfikatu - na maila przyjdzie nam wiadomość z kodem potwierdzającym
4) ściągnięcie paczki z certyfikatem
5) wysłanie plików certyfikatu na router (np przez ftp)


5. Ustawienie usługi httpd

W zakładce Administration -> Admin Access ustawiamy wszystko tak jak na załączonym obrazku

openlinksys.info/images/ssl.png

Oczywiście port HTTP możemy ustawić inny. Możemy również zamiast "HTTP & HTTPS" ustawić samo "HTTPS"


6. Test certyfikatu

Przyjmijmy, że w katalogu /tmp posiadamy wszystkie interesujące nas pliki czyli router.openlinksys.info.crt (certyfikat) oraz router.openlinksys.info.key (klucz prywatny). Wydajemy kolejno komendy:
cat /tmp/router.openlinksys.info.crt > /etc/cert.pem
cat /tmp/router.openlinksys.info.key > /etc/key.pem
service httpd restart


i sprawdzamy czy certyfikat działa, wchodząc na stronę routera https://domena/
(z zewnątrz, gdyż wewnątrz może nie zadziałać, dlatego wewnątrz sieci pozostaliwiśmy protokół http).

Jeżeli naszym oczom ukarze się gui tomato z białym paskiem adresu zamiast czerwonego możemy sobie pogratulować.
Jako potwierdzenie klikając na kłódkę zobaczymy (przykład dla mojej domeny):
openlinksys.info/images/ssl2.png


7. Trwały zapis certyfikatu do nvram

Wydajemy w konsoli kolejno komendy:
tar -C / -czf /tmp/cert.tgz etc/cert.pem etc/key.pem
nvram setfb64 https_crt_file /tmp/cert.tgz
nvram commit


Pamiętaj!! Jeżeli kiedykolwiek odznaczysz "Save in NVRAM" lub zaznaczysz "Regenerate", stracisz zapisany w nvram certyfikat i będziesz musiał powtórzyć kroki 6 i 7.
Pamiętaj!! Zapisz sobie gdzieś pliki certyfikatu i klucza tak by ich nie stracić.

Powodzenia
Edytowane przez shibby dnia 04-11-2011 12:05
Asus RT-AC3200 Tomato v1.28 K26ARM-140
Netgear ReadyNAS Pro4 OS6
-----------
http://tomato.gro... - moje kompilacje Tomato
 
http://tomato.groov.pl
LDevil Dziekuje za dotacje
Jeżeli będziemy się łączyć z routerem z niewielkiej liczby komputerów to warto rozważyc stworzenie własnego CA i tam podpisywać certyfikaty.
WNR3500L V2 - Tomato v1.28.0000 MIPSR2-140 K26 USB VPN
 
SlyT
Trzeba tylko pamietac zeby dodac certyfikat wlasnego CA do odpowiedniego kontenera na kazdym z hostow z ktorymi sie bedziemy laczyc.
Linksys E2000 Tomato 1.28 shibby's compilation
[ASUS WL-500g Premium / OpenWRT RC6 + X-Wrt + troche nowszych pakiet?w] disabled
PAP2-T v5.1.2(LS) + IPFON
QNAP TS-209 II Pro
 
shibby Dziekuje za dotacje
Tyle że certyfikat podpisany własnym CA nadal jest niezaufany, tak więc to nam nic nie zmieni.
Asus RT-AC3200 Tomato v1.28 K26ARM-140
Netgear ReadyNAS Pro4 OS6
-----------
http://tomato.gro... - moje kompilacje Tomato
 
http://tomato.groov.pl
LDevil Dziekuje za dotacje
Ale jak masz własne CA, to możesz dodać jego certyfikat do zaufanych wystawców i od tej chwili wszystkie certyfikaty wystawione przez to CA będą zaufane.
Numer ten niestety trzeba powtórzyć na każdym komputerze z którego będziemy łączyć się do panelu routera, ale z drugiej strony robi się to tylko raz.
Zaletą tej metody jest to, że wystawiamy sobie certyfikat na 10 lat i zapominamy o całej zabawie.
WNR3500L V2 - Tomato v1.28.0000 MIPSR2-140 K26 USB VPN
 
shibby Dziekuje za dotacje
na kazdym komputerze, komorce, na kazdej przegladarce.

to nie do konca jest wyjscie. Jednak w pewni autorytatywny i zaufany certyfikat to pewniak.
Asus RT-AC3200 Tomato v1.28 K26ARM-140
Netgear ReadyNAS Pro4 OS6
-----------
http://tomato.gro... - moje kompilacje Tomato
 
http://tomato.groov.pl
Nimloth
Polecam http://cert.startcom.org/
Darmowy certyfikat SSL na rok (mozna odnawiac) ... i root jest w kazdej przegladarce Smile
 
shibby Dziekuje za dotacje
super info. Generowałeś już może tam certyfikat? Ja narazie mam ten darmowy z comodo wiec poki co nie bede tworzyl nowego ale w luty jak ten z comodo sie skonczy to napewno skorzystam.
Asus RT-AC3200 Tomato v1.28 K26ARM-140
Netgear ReadyNAS Pro4 OS6
-----------
http://tomato.gro... - moje kompilacje Tomato
 
http://tomato.groov.pl
przemasisko
shibby napisał(a):

Generowałeś już może tam certyfikat?


Właśnie przed chwilą wygenerowałem certyfikat za pomocą serwisu StartSSL i zastosowałem w Tomato wg w/w poradnika. Wszystko śmiga. Certyfikat ważny na rok.

Testowane na przeglądarkach, w których była "zielona kłódka":
- IE 8.0
- Firefox 9.0.1
- Chrome 16
 
server.przemas.pl
shibby Dziekuje za dotacje
moj z comodo wazny jest jeszcze miesiac a pozniej tez wyceneruje sobie ten co ty Smile
Asus RT-AC3200 Tomato v1.28 K26ARM-140
Netgear ReadyNAS Pro4 OS6
-----------
http://tomato.gro... - moje kompilacje Tomato
 
http://tomato.groov.pl
Nimloth
Tak korzystam z niego od ponad 2 lat ... bez problemu dziala
 
pluttek
shibby napisał:

2. Wymagania

Potrzebujemy domenę. Najlepiej wykupiona domena, gdyż będziemy musieli zweryfikować prawo do jej posiadania (adres email, wpis cname w dns). Szczerze powiem, nie wiem jak sprawdzi się tu dynamiczna domena. (...)


Mam dynamiczną domenę na no-ip.com : pluttek.###.### i dla niej próbuję generować klucz.


3. Wygenerowanie pliku klucza (key) i żądania (csr)

W konsoli wydajemy komendę:
cd /tmp
openssl req -nodes -newkey rsa:2048 -keyout router.openlinksys.info.key -out router.openlinksys.info.csr


Odpowiadamy na pytania. Najważniejsze by w polu Common Name podać nazwę swojej domeny.



w konsoli (poprzez telnet putty) wpisuję:
Pobierz kod źródłowy  Kod źródłowy
Tomato v1.28.0000 MIPSR2-083V-PL K26 USB AIO

root@pluttek:/tmp# openssl req -nodes -newkey rsa:2048 -keyout pluttek.###.###.key -out pluttek.###.###.csr




i niestety nic się mnie o nic nie pyta tylko "smaruje" to:

Pobierz kod źródłowy  Kod źródłowy
Generating a 2048 bit RSA private key
.......................................................................................+++
................+++
writing new private key to 'pluttek.###.###.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
. []:US
. []:.
. []:.
. []:.
. []:.

Please enter the following 'extra' attributes
to be sent with your certificate request
. []:
. []:
root@pluttek:/tmp#




co robię nie tak?
(pewne znaki w nazwie domeny zastąpiłem przez ### - żeby się za dużo nie wydało ;)
RT-N16 @ tomato-K26USB-1.28.RT5x-MIPSR2-083V-PL-AIO + Optware
 
ghoes
Niech ktoś pomoże, bo i ja na tym poległem... Wink
Asus RT-N16[B2] Tomato-K26USB-1.28.RT-N5x-MIPSR2-v130 AIO

http://tomato.gro...6e995ae023
 
przemasisko
Najlepiej na innym linxuie (ubuntu) wygenerować sobie certyfikat.
Od biedy można również na Windowsie.
A jeśli koniecznie na routerze to pasuje zainstalować openssl z optware i edytować pliczek openssl.cnf w którym to są te zmienne o które się "pluje".
 
server.przemas.pl
ghoes
chodzi o to, że certyfikat się generuje, lecz linijki do uzupełnienia przechodzą puste (nie można wpisać nic, bo to przechodzi z automatu do końca, tak jak to kolega Pluttek wkleił z konsoli
Asus RT-N16[B2] Tomato-K26USB-1.28.RT-N5x-MIPSR2-v130 AIO

http://tomato.gro...6e995ae023
 
przemasisko
Dlatego piszę, że trzeba wyedytować plik openssl.cnf, w którym są te puste linijki. W wbudowanym openssl w tomato tego nie zrobisz.
 
server.przemas.pl
ghoes
Tak powinno być (przynajmniej w naszym przypadku...
Pobierz kod źródłowy  Kod źródłowy
/opt/bin/openssl req -nodes -newkey rsa:2048 -keyout router.openlinksys.info.key -out router.openlinksys.info.csr



Dziękuję koledze Hermes-80 za pomoc... ;)

Połączony z 22 styczeń 2012 13:12:01:
.... jeśli ktoś nie ma openssl w optware, to musi wcześniej zainstalować, bo to wkompilowane w tomato powoduje właśnie tego typu błąd...
Pobierz kod źródłowy  Kod źródłowy
ipkg install openssl




przepraszam, że piszę post pod postem, ale niestety nie mogę edytować... może ktoś to scali...
Edytowane przez ghoes dnia 22-01-2012 13:12
Asus RT-N16[B2] Tomato-K26USB-1.28.RT-N5x-MIPSR2-v130 AIO

http://tomato.gro...6e995ae023
 
larius
Mała poprawka do punktu nr 3:

Pobierz kod źródłowy  Kod źródłowy

cd /tmp
openssl req -nodes -newkey rsa:2048 -keyout router.openlinksys.info.key -out router.openlinksys.info.csr -config /opt/share/openssl/openssl.cnf





Taka komenda nie zwraca pustych pól, tylko zatrzymuje się i pyta o odpowiedzi jak to zresztą było pisane w tutku.

Połączony z 30 styczeń 2012 15:40:15:
Ehh, nie wiem co robię źle, ale nie chce mi to działać :(

Mam zrobiony certyfikat. Jak go wrzucam do /tmp i przenosze ich zawartość cat'em do plików pem to ładnie widać w podglądzie, że komendy zrobiły swoje.

Jednak gdy robię restart httpd - certyfikary jakby są generowane przez router od początku. Tak jakby regenerate było non stop uruchomione, a nie jest... Podglądam zawarość cert.pem i key.pem i są one z tą treścią generowaną przez router...
Próbowałem zrobić tar'a z właściwymi plikami .pem i wgrać to do nvram - ale efekt jest ten sam....
Any ideas?

Połączony z 30 styczeń 2012 19:02:45:
.


Znalazłem odpowiedź:
http://www.linksysinfo.org/index.php?threads/using-my-own-ssl-certificate-in-tomato.27736/

Wygenerowany certyfikat jest odrzucany, bo jest za długi i router wtedy z automatu generuje swój.

Teraz pytanie za 100pkt, jak zwiększyć limit takiego certyfikatu? Standardowo jest 2048 znaków, mój ma ponad 2500... Niestety już raz wygenerowany klucz (StartSSL) nie jest w ogóle edytowalny i nie mogę go wygenerować w lżejszej wersji :(
Edytowane przez larius dnia 30-01-2012 19:02
NETGEAR WNR3500L@Tomato v1.28.0000 MIPSR2-083V K26 USB Big-VPN by shibby :-)
 
shibby Dziekuje za dotacje
wgralem wlasnie certyfikat od startssl i dziala ladnie. Mała uwaga: koniecznie podawajcie poprawne dane teleadresowe, poniewaz beda sam o to wypytywac i weryfikowac. Mi za pierwszym razem odrzucili zgloszenie.
Asus RT-AC3200 Tomato v1.28 K26ARM-140
Netgear ReadyNAS Pro4 OS6
-----------
http://tomato.gro... - moje kompilacje Tomato
 
http://tomato.groov.pl
krisan
larius napisał(a):
...
Jednak gdy robię restart httpd - certyfikary jakby są generowane przez router od początku. Tak jakby regenerate było non stop uruchomione, a nie jest... Podglądam zawarość cert.pem i key.pem i są one z tą treścią generowaną przez router...
Próbowałem zrobić tar'a z właściwymi plikami .pem i wgrać to do nvram - ale efekt jest ten sam....
Any ideas?

Połączony z 30 styczeń 2012 19:02:45:
.


Znalazłem odpowiedź:
http://www.linksysinfo.org/index.php?threads/using-my-own-ssl-certificate-in-tomato.27736/

Wygenerowany certyfikat jest odrzucany, bo jest za długi i router wtedy z automatu generuje swój.

Teraz pytanie za 100pkt, jak zwiększyć limit takiego certyfikatu? Standardowo jest 2048 znaków, mój ma ponad 2500... Niestety już raz wygenerowany klucz (StartSSL) nie jest w ogóle edytowalny i nie mogę go wygenerować w lżejszej wersji :(


Ja mam identyczną sytuację: certyfikat wygenerowany zgodnie z pierwszym postem.


Nie działa zarówno jeśli skopiuję do /etc jak i wgram do NVRAM: w obu przypadkach są generowane standardowe pliki *.pem, a w logu pojawia się:
Pobierz kod źródłowy  Kod źródłowy
... daemon.warn httpd[4690]: Unable to start SSL
... daemon.info httpd[4690]: Generating SSL certificate...




Aktualizacja:
To bug w wbudowanym httpd czy coś nie tak z moimi kluczami *.pem?
Zaraz po uruchomieniu httpd -d z katalogu /www dostaję:
Pobierz kod źródłowy  Kod źródłowy
718025168:error:0B080074:lib(11):func(128):reason(116):NA:0:


Co odpowiada wpisie w logu tomato podanym powyżej.


BTW: Później zachowuje się podobnie, jak przy certyfikacie wygenerowanym z automatu, czyli przy pierwszym wejściu (i po usunięciu certyfikatu z cache-u z przeglądarki)
Pobierz kod źródłowy  Kod źródłowy
718025168:error:14094418:lib(20):func(148):reason(1048):NA:0:SSL alert number 48



Edytowane przez krisan dnia 25-02-2012 23:26
Asus RT-N16: http://tomato.gro...0c5eb9d583
Tomato Firmware 1.28.0000 MIPSR2-12x K26 USB VPN

Siemens Gigaset C475IP VoIP & Landline Twin
D-link DNS-320: | firmware Alt-F
RPi Model B Revision 1.0 + ECN0001 (no fuses, D14 removed) | RPi2 | osmc
Optoma GT750
Yamaha RX-V673+NSP40
 
Przejdź do forum:
Logowanie
Nazwa użytkownika

Hasło



Nie masz jeszcze konta?
Zarejestruj się

Nie możesz się zalogować?
Poproś o nowe hasło
Aktualnie online
· Gości online: 8

· Użytkowników online: 0

· Łącznie użytkowników: 23,572
· Najnowszy użytkownik: Zbigniew Chmielewski
Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

Unpleasant
16-08-2017 18:48
Panowie, działają Wam regułki ebtables na nowszych wersjach AIO z multi WAN? (AC66U)

b3rok
12-08-2017 14:35
@djwujek i inni - ostrożnie z tym sklepem, więcej tutaj (komentarze) https://zaufanatrz
eciastrona.pl/post
/jak-bezkarnie-kra
sc-pieniadze-czyli
-o-bezradnosci-org
anow-scigania/

djwujek
12-08-2017 02:05
Po 210 Zł RT-N18U arendt-24 //usunąłem link poczytajcie komentarze o Arendt - b3rok

feszt
08-08-2017 16:38
NewCS to zabytek, napewno na ARM też go nie ma.

PanRatio
07-08-2017 21:39
Jest promocja i Router Xiaomi Mi Pro można mieć za 295 zł. Szkoda, że nie ma na niego Tomato Frown

scooby
07-08-2017 19:10
czesc, mam pytanie czy dałoby rade wykorzystac tutorial Cardserwer NewCS 1.67RC1 pod Tomato w sofcie RMerlin z optware ?

PixelPL
02-08-2017 16:46
na torrent trochę się zapycha i szału nie ma, w LAN -> Switch Control -> Enable Jumbo Frame

PixelPL
02-08-2017 16:44

PixelPL
02-08-2017 16:43
@ovner RT-N16 AsusWRT Merlin 378.50

ovner
02-08-2017 09:37
RT-N16 wyrabia na łączu +400Mb/s Smile No ładnie jak na staruszka, jaką dokładnie masz wersje wgrana bo ja mam Firmware:374.43_2-
26E3j9527 (Merlin LTS fork)

PixelPL
01-08-2017 23:26
http://beta.speed.
..597417.png
RT-N16 AsusWRT Merlin 378.50

ovner
01-08-2017 10:32
RT-N16_Discontinue
d Rmerlin zaprzestał rozwoju i wsparcia tomato dla rt-n16 To co mamy wgrane to jest fork na baziw jego softu

PixelPL
01-08-2017 10:30
no i jeszcze teraz łączy mi z routerem na wyższym adresie bo jeszcze używam PPPoE do ADSL

PixelPL
01-08-2017 10:27
RT-N16_3.0.0.4_378
.50_0 Dodali okienko CPU Usage Grin

PixelPL
01-08-2017 09:57
Panowie jest problem https://www.media.
..nw5wo8wrco
Wedle tej strony soft na samej górze nie jest najnowszy, dziś sprawdziłem po datach doda

PixelPL
30-07-2017 08:54
Nat DMZ itd. cmd ping, iperf, nie łączy. Skończyły mi się pomysły. Może Asus WRT Merlin jest jakieś pop... nie chcę mi się zmieniać już na coś innego

PixelPL
30-07-2017 08:52
Dziś spędziłem nad tym 4 godziny, jak kolega wspomniał adresacja 10.0.0.1 i 10.0.0.2 jest poprawna ponieważ ruch występuje a router w sekcji WAN widzi to poprawnie, nic jednak z przekierowania portu N

33,088,152 unikalne wizyty