我必须发布此信息,因为PTPS现在要求用户生成自己的密钥/证书,而不是为您执行的设备。该手册在这方面几乎没有任何帮助,因此,这是免费程序OpenSSL的过程(可以随意修改)。请发布您已经使用过的,也许Cambium可能会为手册增加一些官方帮助。配置是“食谱”;除非成分改变,否则它永远不会改变!这就是手册的目的。因此,我们不必在几个小时内狩猎。
这些说明基于代码版本03-30(25JAN2021)。
CAMBIUM要求:“使用2048位密钥尺寸和SHA256上传HTTPS接口的RSA私钥和公共证书。证书主题必须是ODU的IP地址,例如169.254.1.1。输入必须以划定的编码规则(DER)格式。”
在更改密码或启用SNMPV3之前执行此步骤。
这是您唯一可以禁用HTTP的地方。如果您通过“基于Web的管理页面”尝试,它也将禁用HTTPS。
脚步:
这两个收音机都必须在收音机中应用AES128(或256)的许可密钥才能执行此操作。您可以通过:
一个。单击“安装”,然后单击“继续安装向导”。
b。第一页是应用许可证密钥的位置,底部是“功能摘要”。它应该说“许可加密AES 128位”。
为Windows安装OpenSSL(如果适用) - 适合您的系统的“轻”版本和64位或32位(通常是64位) - 应该说诸如“ Win64 Openssl v1.1.1j Light”之类的话:https://slproweb.com/products/win32openssl.html
注意 - common openssl命令:
https://www.sslshopper.com/article-most-common-openssl-commands.html
打开程序“ win64 openssl命令提示符”。
在命令提示符中执行以下命令;用您正在使用的无线电IP替换IP地址。确保使用“。”。(点)确保所有字段,但IP地址为空白。IP地址输入到“通用名称”字段中。从此步骤开始之前,请先为两个收音机的证书和钥匙提供证书和键。
您还需要密钥生成的密码;只需确保将其写下来,因为您需要多次输入它。管理收音机时,您将不需要此密码。
<您可以尝试增加证书到期;“ -days 3650”为我们提供了10年的时间,但可能更喜欢增加。例如30年或“ -days 10950”。这是未经测试的。>
另请注意:openssl默认情况下将PEM输出,因此您必须将DER指定为输出。您可以通过使用记事本打开证书文件来验证证书文件。如果是Gobbledygook,则编码。如果它以“-----开始证书--------------
然后是基本64编码(PEM)。OpenSSL还需要一个PEM密钥来生成证书(DER或PEM),因此我们仍然需要PEM密钥。这就是为什么三个OpenSSL步骤的原因:
复制/粘贴命令:
OpenSSL GENRSA -AES128 -OUT CAMBIUM -122.168.1.20-KEY.PEM 2048 OPENSSL RSA -INForm Pem -In Cambium -122.168.1.20-10-Key.pem.pem.pem -Outform -outform der -out cambium -out cambium-192.168.1.1.20-10-key.20-key.derepensssl repenssl re re re re re re req -quq -qus quq -qus quq -q req -q q Q Q -q Q Q -q Q Q -QQ509999-SHA256 -Day 3650 -nodes -Outform der -key -key -key -cambium-192.168.1.20-key.pem-- cambium-cambium-192.168.1.20-crt.der
示例输出:
c:\ user \ \ downloads> openssl genrsa -aes128 -out cambium-192.168.1.20-key.pem.pem 2048生成RSA私钥,2048 bit Long Modulus(2 Primes)............... +++++ ...................................................... +++++ e是65537(0x010001)输入Cambium-122.168的通行短语。1.20-key.pem: Verifying - Enter pass phrase for cambium-192.168.1.20-key.pem: C:\Users\\Downloads>openssl rsa -inform PEM -in cambium-192.168.1.20-key.pem -out form der -out cambium-192.168.1.20-key.der输入cambium -122.168.1.20 -key.pem:写作rsa键C:\ users \ user \ uders \ uders \ uders \ openssl req -x509 -sha256 -days 3650 -distry rsa键C:-nodes -outform der -key-key-cambium-122.168.1.20-key.pem-- cambium-192.168.1.20-crt.der输入cambium-cambium-cambium-192.168.1.20-key.pem:这将被整合到您的证书请求中。您将要输入的是所谓的杰出名称或DN。有很多字段,但是您可以为某些字段留下一些空白,如果输入'。',该字段将留为空白。-----国家名称(2个字母代码)[au]:。状态或省名(全名)[某个州]:。局部名称(例如,城市)[]:。 Organization Name (eg, company) [Internet Widgits Pty Ltd]:. Organizational Unit Name (eg, section) []:. Common Name (e.g. server FQDN or YOUR name) []:192.168.1.20 Email Address []:.
首先在远程收音机上开始。请注意,您在计时器上,系统可以将您登录。在这一点上,您应该准备快速移动。
单击“安全”,然后“继续使用安全向导”按钮
注意:禁用HTTP并启用无线加密和HTTP的功能是通过“安全配置向导”。您可以在“系统 - >配置”(“系统配置”)页面中启用无线加密,但是它们使您在这里进行操作并覆盖系统配置页面。这只是意味着您最终要进行两次(更多重新启动和更多风险)。
单击“生成随机键”按钮,以进行“输入密钥”和“输入随机号码熵输入”。
注意:“键输入密钥”将破坏您的SNMPV3配置,这意味着您必须进行两次。这就是为什么我们首先做这部分。
安全横幅:
- 禁止未经授权的使用。
启用“显示登录信息”
输入HTTPS配置 - 选择您生成的证书和键(.der文件)。如果不是Der格式,您将获得“无效的TLS公共证书文件”错误。
输入无线加密设置,作为“ TLS PSK 128位”(如果没有显示此选项,则AES-128许可的许可或未使用或两者都不使用)。
让它生成键并复制它。该键必须在无线电上(ODUS或室外单元)上匹配。
如果没有,那么您将无法访问遥控器。首先进行远侧配置。请注意,您在计时器上,系统可以将您登录。因此,这就是为什么我们首先先于两个广播的证书预先生成。
在“输入HTTP和Telnet设置”上,将“启用HTTP访问”设置为“否”。
注意:如果需要从路由器本地进行远程触发或因为我们被锁定在HTTPS之外,我们将启用TELNET。
在页面上,要求您重新启动,暂停并再次使用近侧收音机开始此过程,然后在重新启动页面上暂停。
将ping设置为FAR Radio,以确认一切都会恢复。
重新启动远侧收音机。
作者:https://www.textor.ca/trevor-textor-about-me/