#1

我必须发布此信息,因为PTPS现在要求用户生成自己的密钥/证书,而不是为您执行的设备。该手册在这方面几乎没有任何帮助,因此,这是免费程序OpenSSL的过程(可以随意修改)。请发布您已经使用过的,也许Cambium可能会为手册增加一些官方帮助。配置是“食谱”;除非成分改变,否则它永远不会改变!这就是手册的目的。因此,我们不必在几个小时内狩猎。

这些说明基于代码版本03-30(25JAN2021)。

CAMBIUM要求:“使用2048位密钥尺寸和SHA256上传HTTPS接口的RSA私钥和公共证书。证书主题必须是ODU的IP地址,例如169.254.1.1。输入必须以划定的编码规则(DER)格式。”

在更改密码或启用SNMPV3之前执行此步骤。

这是您唯一可以禁用HTTP的地方。如果您通过“基于Web的管理页面”尝试,它也将禁用HTTPS。

脚步:

  1. 这两个收音机都必须在收音机中应用AES128(或256)的许可密钥才能执行此操作。您可以通过:
    一个。单击“安装”,然后单击“继续安装向导”。
    b。第一页是应用许可证密钥的位置,底部是“功能摘要”。它应该说“许可加密AES 128位”。

  2. 为Windows安装OpenSSL(如果适用) - 适合您的系统的“轻”版本和64位或32位(通常是64位) - 应该说诸如“ Win64 Openssl v1.1.1j Light”之类的话:https://slproweb.com/products/win32openssl.html

    注意 - common openssl命令:
    https://www.sslshopper.com/article-most-common-openssl-commands.html

  3. 打开程序“ win64 openssl命令提示符”。

  4. 在命令提示符中执行以下命令;用您正在使用的无线电IP替换IP地址。确保使用“。”。(点)确保所有字段,但IP地址为空白。IP地址输入到“通用名称”字段中。从此步骤开始之前,请先为两个收音机的证书和钥匙提供证书和键。

    您还需要密钥生成的密码;只需确保将其写下来,因为您需要多次输入它。管理收音机时,您将不需要此密码。

    <您可以尝试增加证书到期;“ -days 3650”为我们提供了10年的时间,但可能更喜欢增加。例如30年或“ -days 10950”。这是未经测试的。>

    另请注意:openssl默认情况下将PEM输出,因此您必须将DER指定为输出。您可以通过使用记事本打开证书文件来验证证书文件。如果是Gobbledygook,则编码。如果它以“-----开始证书--------------然后是基本64编码(PEM)。OpenSSL还需要一个PEM密钥来生成证书(DER或PEM),因此我们仍然需要PEM密钥。这就是为什么三个OpenSSL步骤的原因:

复制/粘贴命令:

OpenSSL GENRSA -AES128 -OUT CAMBIUM -122.168.1.20-KEY.PEM 2048 OPENSSL RSA -INForm Pem -In Cambium -122.168.1.20-10-Key.pem.pem.pem -Outform -outform der -out cambium -out cambium-192.168.1.1.20-10-key.20-key.derepensssl repenssl re re re re re re req -quq -qus quq -qus quq -q req -q q Q Q -q Q Q -q Q Q -QQ509999-SHA256 -Day 3650 -nodes -Outform der -key -key -key -cambium-192.168.1.20-key.pem-- cambium-cambium-192.168.1.20-crt.der

示例输出:

c:\ user \  \ downloads> openssl genrsa -aes128 -out cambium-192.168.1.20-key.pem.pem 2048生成RSA私钥,2048 bit Long Modulus(2 Primes)............... +++++ ...................................................... +++++ e是65537(0x010001)输入Cambium-122.168的通行短语。1.20-key.pem: Verifying - Enter pass phrase for cambium-192.168.1.20-key.pem: C:\Users\\Downloads>openssl rsa -inform PEM -in cambium-192.168.1.20-key.pem -out form der -out cambium-192.168.1.20-key.der输入cambium -122.168.1.20 -key.pem:写作rsa键C:\ users \ user \ uders \ uders \ uders \ openssl req -x509 -sha256 -days 3650 -distry rsa键C:-nodes -outform der -key-key-cambium-122.168.1.20-key.pem-- cambium-192.168.1.20-crt.der输入cambium-cambium-cambium-192.168.1.20-key.pem:这将被整合到您的证书请求中。您将要输入的是所谓的杰出名称或DN。有很多字段,但是您可以为某些字段留下一些空白,如果输入'。',该字段将留为空白。-----国家名称(2个字母代码)[au]:。状态或省名(全名)[某个州]:。局部名称(例如,城市)[]:。 Organization Name (eg, company) [Internet Widgits Pty Ltd]:. Organizational Unit Name (eg, section) []:. Common Name (e.g. server FQDN or YOUR name) []:192.168.1.20 Email Address []:.

  1. 首先在远程收音机上开始。请注意,您在计时器上,系统可以将您登录。在这一点上,您应该准备快速移动。

  2. 单击“安全”,然后“继续使用安全向导”按钮

    注意:禁用HTTP并启用无线加密和HTTP的功能是通过“安全配置向导”。您可以在“系统 - >配置”(“系统配置”)页面中启用无线加密,但是它们使您在这里进行操作并覆盖系统配置页面。这只是意味着您最终要进行两次(更多重新启动和更多风险)。

  3. 单击“生成随机键”按钮,以进行“输入密钥”和“输入随机号码熵输入”。
    注意:“键输入密钥”将破坏您的SNMPV3配置,这意味着您必须进行两次。这就是为什么我们首先做这部分。

  4. 安全横幅:
    - 禁止未经授权的使用。

  5. 启用“显示登录信息”

  6. 输入HTTPS配置 - 选择您生成的证书和键(.der文件)。如果不是Der格式,您将获得“无效的TLS公共证书文件”错误。

  7. 输入无线加密设置,作为“ TLS PSK 128位”(如果没有显示此选项,则AES-128许可的许可或未使用或两者都不使用)。

  8. 让它生成键并复制它。该键必须在无线电上(ODUS或室外单元)上匹配。

    如果没有,那么您将无法访问遥控器。首先进行远侧配置。请注意,您在计时器上,系统可以将您登录。因此,这就是为什么我们首先先于两个广播的证书预先生成。

  9. 在“输入HTTP和Telnet设置”上,将“启用HTTP访问”设置为“否”。

    注意:如果需要从路由器本地进行远程触发或因为我们被锁定在HTTPS之外,我们将启用TELNET。

  10. 在页面上,要求您重新启动,暂停并再次使用近侧收音机开始此过程,然后在重新启动页面上暂停。

  11. 将ping设置为FAR Radio,以确认一切都会恢复。

  12. 重新启动远侧收音机。

作者:https://www.textor.ca/trevor-textor-about-me/

1喜欢
如何使用OpenSSL生成HTTPS证书
如何使用OpenSSL生成HTTPS证书
#2

感谢您的详细帖子Trevor!

我们认为PTP 670提供了一些非常出色的安全功能。The approach based on externally-generated certificates hasn’t changed over the lifetime of PTP 650 and PTP 670. However, we recognize that it is not straightforward to generate the required keys and certificates to configure HTTTPS, and perhaps some further guidance would be in order.

您使用的方法与我们通常使用的方法略有不同。我们将详细审查并详细回复。

标记

1喜欢
#3

太好了,谢谢马克。非常感激。

#4

不幸的是,我没有我们的首选过程来生成RSA键和证书,但我会继续努力。接下来的几天我应该有一些东西。

同时,这里有两个观察:

自签名证书

该主题开始时的过程生成了自签名的证书。自签名的证书在HTTPS连接中提供了隐私,但不能提供身份验证,因此用户无法确定他/她已连接到真正的ODU。可以通过将证书添加到浏览器的受信任证书存储中来恢复身份验证功能,但这将是具有多个ODU和多个管理平台的网络中的麻烦解决方案。

自签名的证书通常触发浏览器警告。忽略浏览器警告从来都不是一个好主意,因为他们试图告诉我们一些重要的事情。

相反,我们更喜欢创建本地证书权限,然后使用此CA签署单个证书。在这种情况下,我们只需要在浏览器的受信任证书存储中添加一个根CA证书。当然,还有更多开放的SSL命令。

主题替代名称

直到最近,浏览器还能够从“通用名称”字段中处理证书的主题(在这种情况下为IP地址或DNS名称),即使这很长一段时间内都不是Internet标准的一部分。

现在,浏览器已经收紧了这里,只会从主题替代名称(SAN)字段中阅读主题。浏览器拒绝我们以前使用的证书。

可以使用Open SSL在SAN Field中创建带有IP地址的X.509。实际上,在Open SSL 1.1.1中执行此操作变得非常容易。这主要是我需要做更多的工作。

1喜欢
#5

请参阅“知识数据库”主题生成PTP 650/670的HTTPS证书 - 创建CA有关我们首选方法的更详细描述。

#6

嗨,马克,

非常感谢专注和详细的回应。

我在安全性工作已有20多年(SANS GSEC CERT)工作,这是我对私人证书局(又称“本地CAS”)的观察:

在我与大小相关的20个左右的公司中,没有一个都有私人CAS。因此,尽管我同意您的技术评估,但很难说服管理费用。网络管理员(NA)通常管理100个设备(如果不是1000)的设备,其中许多设备具有带有自签名证书的HTTPS接口。您只需习惯通过浏览器警告单击到设备即可。并不是说一个NA可以很容易被欺骗。然后是SSH,它具有类似的问题,但不太广为人知和解决。

将其出售给管理层的挑战取决于预算和安全优先事项。我想说的是社会工程的安全重点#1问题(要求培训人员减轻)和#2是物理安全。I’ve seen plenty of large companies with satellite offices put tons of money into securing data centers and large city corporate offices just for the satellite offices to allow anyone off the street to come in and plug into the network (or password recovery the devices). It’s amazingly easy to just follow someone badging into a floor and sit down at an unlocked computer and/or install a keylogger.

因此,如果加密管理会话和身份验证在列表的某个地方,可能是向下的,该怎么办?如果爱德华·斯诺登(Edward Snowden)教给我们任何东西,那就是我们至少应该加密会议,即使没有进行认证。也许有一天会为所有需要管理的设备提供一项让我们加密的计划。今天,让我们加密在这种情况下不起作用。

[我非常好奇地cambium是如何说服这种安全性的,因为这是我遇到的第一个供应商尝试一下。]

在主题替代名称(SAN)字段上有趣的是,感谢您指出的。

我阅读了您的“在PTP 670上的配置HTTP-创建CA” - 是否已经测试过?ODU需要以DER格式而不是PEM键,因此需要转换密钥。否则,您会收到“无效的TLS公共证书文件”错误。

干杯,

特雷弗

#7

嗨,特雷弗,

您提到的知识基础主题描述了如何生成本地CA的私钥和自签名证书。然后,我们将使用该键来签署实际的ODU证书。CA私钥永远不会安装在ODU中。OpenSSL使用PEM格式作为默认格式,因此我认为将CA私钥作为PEM更简单。

您可以说我们需要以DER格式安装ODU中的键和证书。

最好的问候,马克