04 Października 2022 02:55:22
Nawigacja
· Strona Główna
· Forum

· Tomato by Shibby
· FreshTomato


Wątki na forum
Najnowsze dyskusje
· server proxy tomato ...
· FreshTomato + Stubby...
· Xpenology na cienkim...
· OPNsense Orange FTTP
· nsa310- brak dostęp...
· AiMESH Asusa.
· TPlink a mesh
· Multiroom N z wykorz...
· Filtr geoip na er-12
· Połączenie site 2 ...
· Zaufany certyfikat S...
· [HOWTO] Kompilacja "...
· ruter z szybkim wi-fi
· VLAN na podstawie MAC
· Telkab vs Orange
· [MOD] FreshTomato-AR...
· Co kupić po uszkodz...
· Szafka - tablica bez...
· Serwer DNS w tomato
· EdgeRouter zamiast O...
Najpopularniejsze obecnie wątki
· Multiroom N z wyk... [1299]
· AiMESH Asusa. [45]
· nsa310- brak dost... [19]
· TPlink a mesh [3]
· server proxy toma... [2]
· FreshTomato + Stu... [2]
· Xpenology na cien... [2]
· OPNsense Orange FTTP [0]
Ankieta
Jaki procesor posiada twój router?

Broadcom MIPSEL
Broadcom MIPSEL
37% [149 głosów]

Broadcom ARM
Broadcom ARM
51% [209 głosów]

Atheros
Atheros
5% [22 głosów]

Marvell
Marvell
1% [4 głosów]

Ralink
Ralink
1% [3 głosów]

Intel/AMD/VIA
Intel/AMD/VIA
1% [5 głosów]

Żaden z powyższych
Żaden z powyższych
3% [14 głosów]

Ogółem głosów: 406
Musisz zalogować się, aby móc zagłosować.
Rozpoczęto: 02/02/2015 09:38
Twoje IP
44.210.237.158
Zobacz wątek
OpenLinksys » :: PORTAL :: » Tutoriale
 Drukuj wątek
Zaufany certyfikat SSL dla połączeń https w tomato
tomekkg
Czy ktoś życzliwy mógłby łopatologicznie, krok po kroku wytłumaczyć jak uzyskać .crt i .key po rejestracji na StartSSL ?
 
krisan
Rozwiązanie problemu opisanego tutaj: http://openlinksys.info/forum/viewthr...post_98157
Jako prywatny klucz używałem certyfikatu pocztowego, uzyskanego w trakcie rejestracji - zamiast tego do domeny :-)
A wyszło to przy instalacji innego oprogramowania na routerze ... w każdym razie, certyfikat można zawsze zweryfikować czy jest taki jaki powinien:

openssl x509 -subject -dates -fingerprint -in mojcert.pem

Tak więc, wygląda że wszystko śmiga.


Cytat

tomekkg napisał(a):

Czy ktoś życzliwy mógłby łopatologicznie, krok po kroku wytłumaczyć jak uzyskać .crt i .key po rejestracji na StartSSL ?

Wszystko jest opisane w pierwszym poście... a co nie to:
1. Jeśli jesteś już zarejestrowanym to wchodzisz tu: https://www.startssl.com/?app=12.
2. Jeśli jeszcze nie zweryfikowałeś własności swojej domeny to wybierasz zakładkę Validations Wizzard i wybierasz Domain Name....
3. Generowanie certyfikatu: wybierasz z Certificates Wizard pozycję Webserver i idąc dalej wybierasz Skip
4. Jak poprosi o wklejenie certyfikatu CSR to go generujesz zgodnie z instrukcją w pierwszym poście dodając parametr -sha1:

/opt/bin/openssl req -nodes -newkey rsa:2048 [b]-sha1[/b] -keyout xxx.key -out xxx.csr

5. Po zatwierdzeniu czekasz na maila o informacji
6. Jak dostaniesz i wsjo jest ok to [p.1] i z zakładki Tool Box klikasz Retrive... i wybierasz certyfikat serwera.
7. kopiujesz, zapisujesz i masz cert.pem

reszta jak w 1 poście.
[small]Asus RT-N16: http://tomato.groov.pl/tomatoanon.php...0c5eb9d583
Tomato Firmware 1.28.0000 MIPSR2-12x K26 USB VPN

[b][color=#000099]Siemens Gigaset C475IP VoIP & Land
 
krott
Mała archeologia.

Mam główną domenę przekierowaną na hosting. Utworzyłem sub-domenę przekierowaną na ruter, za ruterem dysk synology. Na StartSSL nie można utworzyć certyfikatu dla sub-domeny. Czy generowanie certyfikatu dla głównej domeny ma sens ?
Netgear WNR3500L v2 + Tomato 1.28.0000 MIPSR2-108 K26 USB AIO
Synology DS110j + 1TB Sasmung
(VPN)
Asus 500gP v2 + 1.28.0905 MIPSR1-079V K26 USB BT-VPN by shibby
Qnap TS101 + 750 GB Samsung
 
shibby
a czemuż to nie można? Ja robiłem dla subdomeny. Nawet na screenach widać, że subdomenę zakryłem i zostawiłem widoczną tylko moją główną domenę czeylu groov.pl

Certyfikat możesz użyć tylko dla domeny, dla której został on wygenerowany, czyli nie zadziała on na subdomenie (zadziała ale będzie wadliwy i nadal będzie na czerwono). No chyba, że kupisz certyfikat wildcardowy Smile
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
johnny86
Witam,
dając komende

Cytat

cat /tmp/router.openlinksys.info.crt > /etc/cert.pem
cat /tmp/router.openlinksys.info.key > /etc/key.pem
service httpd restart

mam ERROR: unknown
wie ktoś co wpisuję źlę?
 
Marco76
[...] > /etc/...

Główny system plików Tomato jest read only, niczego w /etc nie zapiszesz.
[small]Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot
 
johnny86
To jak mam to zrobic zeby dzialalo?Wink

Połączony z 31 maj 2013 00:46:40:
to chyba nie jest powodem ponieważ wydałem polecenie

Cytat

cat /tmp/mnt/sda1/1.crt > /tmp/mnt/sda1/cert.pem
cat /tmp/mnt/sda1/csr.key > /tmp/mnt/sda1/key.pem
service httpd restart

i mam ten sam błąd....

Połączony z 31 maj 2013 00:54:06:
odkryłem, że problem mam z

Cytat

service httpd restart


Połączony z 31 maj 2013 00:54:07:
odkryłem, że problem mam z

Cytat

service httpd restart


Połączony z 31 maj 2013 23:14:06:
dobra poradziłem sobieSmile

Cytat

cat /tmp/mnt/sda1/1.crt > /etc/cert.pem
cat /tmp/mnt/sda1/csr.key > /etc/key.pem
service http restart


service http restart bez d w http
Edytowany przez johnny86 dnia 31-05-2013 23:14
 
Marco76
Ups, rozpędziłem się z tym /etc - przecież to symlink do /tmp/etc... Sorry Smile Nigdy nie próbowałem wrzucać czegokolwiek do /etc, stąd mój błąd.
[small]Pozdrawiam, Monter
Asus RT-N18 + FreshTomato 2019.3 K26ARM USB AIO-64K-NOSMP + ILHM v2
HTPC Chieftec FLYER FI-02BC-U3 + GA-H61N-USB3 + i3-3225 + 4GB RAM + LibreELEC + Xbox DVD Remot
 
mieszk3
Hej mam problem z certyfikatem z home.pl z AlphaSSL CA. Mianowicie na Androidach rozpoznaje je jako niezaufane!
Znalazłem strone gdzie podobno mozna dodac do certifikatu serwera takze root CA (http://www.alphassl.com/support/insta...icate.html). Znalazlem tez sposob jak to zrobic w Tomato, ale chyba wymaga to jakiegos moda (http://www.linksysinfo.org/index.php?...tes.37273/).
Shibby, czy jest to już moze wbudowane w twoje Tomato? A jesli nie, czy jest jakis sposob, zeby certifikat byl uznany jako zaufany w androidach?
Pozdrawiam
Asus RT-AC66U + FreshTomato Firmware 2020.2 MIPSR2 K26AC USB AIO-64K
 
johnny86
tutaj masz pośrednie certyfikaty
https://pomoc.home.pl/produkty/bezpieczenstwo/950
kwestia integtracji tego
 
mieszk3
No wlasnie, to jest problem, ze Tomato Shibbiego tego nie robi (nie dodaje root CA). Dlatego tez podalem linka do modu, ktory podobno to robi. Moze mala prosba do Shibbiego aby looknal czy da sie to jakosz w miare latwo dodac? Smile
Asus RT-AC66U + FreshTomato Firmware 2020.2 MIPSR2 K26AC USB AIO-64K
 
johnny86
próbowałem na końcu cert.pem dopisać root CA ale to nic nie pomogło...
 
mieszk3

Cytat

johnny86 napisał(a):

próbowałem na końcu cert.pem dopisać root CA ale to nic nie pomogło...

U mnie niestety to samo.

Połączony z 08 lipiec 2014 10:00:34:
Nie mogę podmienić certyfikatu na nowy.
Po zrobieniu service httpd restart podmienia mi się mój na domyślny z Tomato (pliki cert.pem i key.pem resetują się i zmieniają)!
Wcześniej wszystko działało OK.

Połączony z 08 lipiec 2014 10:12:46:
Ok, już wiem co było nie tak. Podałem zaszyfrowany ssl.key zamiast klucza odkodowanego Wink Wszystko jest w porządku.
Edytowany przez mieszk3 dnia 08-07-2014 10:12
Asus RT-AC66U + FreshTomato Firmware 2020.2 MIPSR2 K26AC USB AIO-64K
 
kille72
Mam pytanie, mam standardowy SSL Certificate ten wygenerowany w Tomato zapisany do nvram zeby byl zawsze taki sam. Jak sie pierwszy raz lacze do Tomato z Firefoxa po https to Firefox ostrzega ze certyfikat nie jest zaufany ale proponuje zapisanie tego SSL w wyjatkach, jak to zrobic w Chrome...(przesiadlem sie na Chrome)?
 
shibby
zamiast trzymać certyfikat w NVRAMie można zapisać go sobie do pliku. Ja mam zakupiony certyfikat kwalifikowany, zapisany na pendrive i do skryptu init dopisałem

Cytat

mount LABEL=optware /opt
cat /opt/ssl/cert.crt > /etc/cert.pem
cat /opt/ssl/klucz.key > /etc/key.pem
service httpd restart


w pliku cert.crt znajduje się certyfikat i CA. Certyfikat jest poprawny zarówno na kompie (każda przeglądarka) jak i na telefonie z androidem.
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
cross
Wszystko fajnie z StartSSL ale jest jeden poważny BUG tego serwisu

Cytat

You must be the owner of the top-level domain, sub domains are not supported


subdomeny nie są obsługiwane. Trochę głupio. Zatem rozumiem, że wszyscy co na startssl tworzyli certy mają domeny zarejestrowane Smile
Edytowany przez cross dnia 09-08-2014 16:08
 
shibby
ja miałem na subdomene. Wydaje.mi się ze trzeba być właścicielem głównej domeny bo na niej dokonywana jest weryfikacja ale certyfikat można wystawić na suba
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
cross
no ja na pewno nie jestem właścicielem domeny net.pl Pfft Zatem nie wiem jakim cudem uzyskam certa na mojadomena.net.pl

Zatem jak wystawić certa na suba?

Połączony z 18 wrzesień 2014 01:29:31:
Dla zainteresowanych tematem. Nie trzeba korzystać z serwisów płatnych , nie płatnych. Można samemu stworzyć sobie CA na serwerze - lub jeśli jest jakiekolwiek repozytorium CA dla routera, to pobrać i postawić na routerze Serwer CA i podpisać sobie certyfikat (CSR) nim.
Edytowany przez cross dnia 18-09-2014 01:29
 
shibby
tylko taki certyfikat podpisany własnym CA będzie nieautorytatywny tak więc nic nie zyskamy względem certyfikatu który sobie generuje Tomato. By żadna przeglądarka nie pluła się, że certyfikat jest niezaufany, musi być on podpisany autorytatywnym CA.

certyfikat na subdomenę można kupić bez problemu. Weryfikacja praw do domeny odbywana jest dwojako:
1) wysyłka maila dla adres admin@subodoemna lub admin@domena lub hostmaster@subdomena lub hostmaster@domena. Czasami możliwych adresów jest więcej do wyboru ale na pewno nie można tu podać adresy dowolnego.
2) test HTML, Czyli dostajemy pliczek weryfikacyjny i musimy go umieścić na stronie pod tym adresem subdomeny.

Czasami możliwa jest jeszcze weryfikacja pod DNSie. Trzeba dodać odpowiedni wpis w DNS dla tej domeny.

Ja już kupiłem 3 certyfikaty. Każdy kosztował mnie niecałe 6 dolarów. Wszystkie są na subdomeny ale mojej własnej domeny. Nie kupowałem nigdy certyfikatu na domenę typu dyndns.
Router: EdgeRouter ER-12
Switch: Ubiquiti US-8-150W
Wi-Fi: Ubiquiti U6-Lite - szt 2.
NAS: Xpenology DS920+
Serwer: Dell 3040M
 
cross
No nie do końca. Jeśli posiadamy jakikolwiek serwer www. Nawet nie podpisany przez CA , a podpisany przez samego siebie certyfikat można wrzucić na serwer naszadomena.com/crl.pem strona po prosi o wybór czy akceptujemy połączenie i pojawi się możliwość zaimplementowania certyfikatu i dodania do centrum zaufania. Ja dodatkowo swój certyfikat CA dodałem do zaufanych wydawców w systemie i nie otrzymuje żadnych ostrzeżeń a o to chodzi, by tego się pozbyć. Polecam sprawdzić u mnie na serwerze: https://sonic.net.pl wyrzuci info o certfikacie, wystarczy pobrać wejść ponownie na stronę i pojawi się nam takie coś:

sonic.net.pl/stuff/img/cert.png


Pytanie co chcecie uzyskać? Certyfikat, który po wejściu na daną stronę trzeba dodać na danym kompie trzeba pobrać przez przeglądarkę i zatwierdzić jako bezpieczny i robimy to jednorazowo ? Więcej już nie, bo certfyfikat jest podpisany przez, co prawda nasze CA, ale dodany do zaufanych. Czy może wygodniej.. bez żadnego potwierdzania? Ale co nam szkodzi raz potwierdzić? Tak samo mam z serwerem postfix - dovecat. Zamierzeniem było pozbycie się okna za każdym razem gdy łączyłem się przez 993 klientem poczty. I się pozbyłem. Teraz mnie o nic nie pyta a tożsamość jest zweryfikowana. Takie jest chyba zamierzenie. Ja tylko informuję, że jest możliwe dodanie certyfikatu nawet bez CA, bo dzisiaj dodałem dla lokalnej domeny w sieci swojej LAN aby wchodzić z hostów lokalnych na router/ (screen poniżej) czy sonic/ (serwer apache po lokalu) wszystko po httpsie bez ciągłego informowania mnie, że łącze się z adresem , którego połączenie nie jest prywatne. Oczywiście jak ktoś chce mieć podpisany przez oficjalne CA to może się bawić ale ktoś doda sobie cert z automatu podpisany przez siebie wrzuci na host tak aby przeglądarka sama pobierała i ma spokój później to chyba to lepsze rozwiązanie?

sonic.net.pl/stuff/img/rcert.png

Ten certyfikat nie podpisywałem przez CA tylko przez samego siebie.
Edytowany przez cross dnia 18-09-2014 18:46
 
Przejdź do forum
Zaloguj
Wprowadź adres e-mail lub nazwę użytkownika

Hasło



Nie masz jeszcze konta? Zarejestruj się.

Zapomniałeś/aś hasła?
Aktualnie online
· Gości online: 4

· Użytkowników online: 0

· Łącznie użytkowników: 24,110
· Najnowszy użytkownik: HCI
Czat
Musisz się zalogować, aby opublikować wiadomość.

man1
28-09-2022 22:19
Czy mając vectrę i ich router 6g w trybie bridge (ale wszystkie porty LAN działają) da się zrobić z tego bonding lub cokolwiek by wykorzystać 1,2Gbps od nich?

kerios83
15-09-2022 21:03
@pedro cos tam poleciles? Bo nie widze wiadomosci z shouta nigdzie. Przypominam, chodzi mi o jak najdszybsze wifi (w przystepej cenie) do swiatla 1gB/1gB (bo nie moge dac tam kabla).

tamtosiamto
13-08-2022 20:57
nie za wczesnie na przejmowanie sie takimi sprawami? Wifi 6 jeszcze dobrze nie zagoscilo w domach, mozna powiedziec, ze wcale Smile pozyjemy zobaczymy. Najwyzej da sie po 1 apeku na 1 room i git Wink

dziubek
11-08-2022 22:09
Ciekawi mnie jak z przenikaniem sygnału przez przeszkody? https://www.telepo
lis.pl/tech/sprzet
/...y-z-wifi-7

sts
28-06-2022 11:11
Mój wynik po wifi 1.2GB/s (serwer po lan 1GB/s) https://tiny.pl/93
mj2 i szukam jeszcze czegos szybszego (mówimy o wifi)

maxikaaz
28-06-2022 10:50
@sts - nie, to wyniki z kabla. Klientów AC mam kilku, ale chyba wszyscy "jednostrumien
iowi" 80MHz (czyli 433Mbit/s), więc max. po radiu to ok. 200Mbit/s.

sts
28-06-2022 07:48
@maxikaaz Czy takie prędkości masz po wifi?

maxikaaz
27-06-2022 21:54
@sts - https://ujeb.se/tw
XQeW

maxikaaz
27-06-2022 21:42
@sts - u mnie światło 1000/300 obrabia R7000, awaryjnie mam AC56u. R7000 wykręca 930-940Mbit/s, AC56u mniej o jakieś 20-30Mbit/s. Na obydwu FreshTomato i CTF.

kille72
27-06-2022 19:11
Dołączył: 12/02/2007, zauważyłem ze jestem 15 lat starszy... Grin

56,054,456 unikalnych wizyt