Можно ли сделать ssl сертификат для роутера?

Question

[Марк Иваныч]

Здравствуйте, следующая проблема.

У нас есть роутер (mikrotik) в нем есть такая служба Hotspot.

Проблема в том, что НЕ работает https должным образом, сейчас у нас самоподписанный сертификат и соответственно появляется предупреждение.

Это возникает в следующих случаях:

1. Клиент кафе подключается к точке Wi-Fi и пытается зайти например на https://ya.ru
2. Роутер его пытается перекинуть на хотспот, но возникает ошибка о небезопасном соединении.

Скажите, как быть. Возможно ли купить нормальный сертификат, но на локальный адрес?
У роутера он такой 198.162.88.1

В самом хотспоте можно устанавливать сертификат, проблема в том на какой адрес этот сертификат делать.

Answer 1

[brutal_lobster]

https://cabforum.org/wp-content/uploads/BRv1.1.7.pdf

Also as of the Effective Date, the CA shall not issue a certificate with an Expiry Date later than 1 November 2015 with a SAN or Subject Common Name field containing a Reserved IP Address or Internal Server Name. As from 1 October 2016, CAs shall revoke all unexpired Certificates.

Вы, наверное, еще успеете получить такой сертификат с внутренним именем, если CA пойдет навстречу.

Или можете получить сертификат на public-suffix домен и настроить его на хот-споте. После добавить для этого домена А запись с локальным адресом 192.168.88.1

Comments

[Марк Иваныч]

Благодарю за ответ. Вчера написал в instantssl.su мне ответили что можно сделать, но этот вариант думаю не самый перспективный.

А если как вы говорите указать в Hotspot Address например hotspot.mydomen.ru и попробовать на него получить бесплатный сертификат? Не хочется ошибиться. Сертификаты дорогие, опыта мало в этой области.

[brutal_lobster]

Да ну дорого - вам не нужен самый фичастый сертификат и я не думаю, что именитость CA также играет большую роль - а для минисайта с такой аудиторией подойдет любой валидный :)
Да и есть же https://www.startssl.com/ - ничего не потеряете и для ваших целей отлично подойдет.

Скорее всего вам понадобится указать dns name в hotspot setup.

[Марк Иваныч]

Почитал, однако нужно иметь выделенный ip, даже если у меня сайт на хостинге, я уже не говорю про 192.168.88.1 , но это я в ЧАВО прочитал может на платные сертфикаты у них что то есть. Также написал им в поддержку, может ответят.

[brutal_lobster]

Необходимость выделенного ip там противопоставляется шаред-хостингу, на котором работают несколько сайтов на одном ip.

Веб-сервер же определяет какой сайт ему показывать по http-заголовку. А при использовании SSL сервер сначала должен предоставить свой сертификат (на кокретный сайт с определенным common name), и только потом уже начать общаться по http.

Т.е. уже на этапе ssl-handshake сервер должен каким-то образом понять, какой сайт (какой сертификат) ему показать. Поэтому и требуют, чтобы у каждого сайта был свой ip-адрес. (Да, есть SNI, но не все шаред-хостинги такое умеют)

То, какая А запись будет у вашего домена, регистратора не должно волновать :)

[Марк Иваныч]

Заказал сертификат за 15$, а на startssl отклонили потому как нельзя использовать в коммерческих целях. И снова появился вопрос о импорте в микротик.

Пришло письмо от comodo.com в нем архив с CRT, еще есть CSR и RSA а мне ведь еще нужен KEY? Его нужно самостоятельно создать?

[brutal_lobster]

Чтобы получить сертификат, вам нужно было самим сгенерировать закрытый ключ, создать с помощью него CSR (запрос на сертификат) и отправить его (CSR) регистратору.

В CSR указывается вся информация, необходимая для создания сертификата, в том числе - открытый ключ (для вашего закрытого)

Мне не понятно, что именно вы заказали и что вам пришло в письме)

Возможно, они за вас сегенировали закрытый ключ (RSA), создали запрос (CSR) и сделали сертификат (CRT) - но это очень странно и не правильно - закрытый ключ должен же быть известен только вам.

[Марк Иваныч]

Когда заказывал мне было предложено сгенерировать CSR я заполнил необходимые поля и после этого скачал два файла csr.txt и rsa.txt а уже от comodo пришло:

Root CA Certificate - AddTrustExternalCARoot.crt
Intermediate CA Certificate - COMODORSAAddTrustCA.crt
Intermediate CA Certificate - COMODORSADomainValidationSecureServerCA.crt
Your PositiveSSL Certificate - hotspot_mydomen_ru.crt
Кстати создал новую тему по этому вопросу чтобы разобраться Как заставить хотспот работать с сертификатом PositiveSSL в Микротике?

[brutal_lobster]

А, ну значит в браузере сгенерировали себе закрытый ключ (rsa.txt) и сформировали csr.txt.
rsa.txt - это ваш private key
hotspot_mydomen_ru.crt - ваш сертификат

[Марк Иваныч]

У rsa.txt по правилам ведь пароль должен быть? На этапе создания CSR должен был создаться RSA так и произошло но не было ни какого запроса на ввод пароля. Соответственно я переименовал rsa.txt в hotspot_mydomen_ru.key и такой командой импортирую в микротик.

/certificate> import file-name=hotspot_mydomen_ru.crt
passphrase:
certificates-imported: 1
private-keys-imported: 0
files-imported: 1
decryption-failures: 0
keys-with-no-certificate: 0

/certificate> import file-name=hotspot_mydomen_ru.key
passphrase:
certificates-imported: 0
private-keys-imported: 1
files-imported: 1
decryption-failures: 0
keys-with-no-certificate: 0

При запросе пароля можно ни чего не указывать или ввести что угодно сертификаты импортируются выходит без пароля? Этож не хорошо.

[brutal_lobster]

Пароль только используется для расшифровки закрытого ключа.

Вы можете добавить пароль (т.е. зашифровать закрытый ключ) с помощью openssl

openssl rsa -des3 -in server.key -out server.key.new

В любом случае, в память микротика ключ импортируется уже в расшифрованном виде - так что это не особо критично.

[Марк Иваныч]

Благодарю, все импортировал. Но не хочет пока что работать https все та же ошибка о небезопасном соединении. Вроде бы все правильно настроил:
Сделал скрины.
1. Настройка сертификата

2. Настройка хотспота

3. Если перейти на https://ya.ru по идее должно перенаправить на хотспот который у нас находится на mydomen.ru/hotspot его туда с роутера простой формой перенаправляет.


И еще непонятное, по идее заходя на адрес hotspot.mydomen.ru должноже кидать на роутер потому как в A=192.168.88.1 а кидает на https://hotspot.mydomen.ru незащищенное подключение, подтверждаю и на mydomen.ru/hotspot

В Waled Garden уже и 192.168.88.1 добавил и hotspot.mydomen.ru и всеравно

[brutal_lobster]

Хм, похоже, я не правильно прочитал ваш изначальный вопрос - не обратил внимания на акцент с httpS://ya.ru.

Дело в том, что редирект c https на https в таком виде в принципе не пройдет без предупреждения - ssl отрабатывает до http.
Сама идея использования https в том числе и в защите от подобного перехвата/редиректа.

Получается такая схема:
1. Браузер пытается подключиться к ya.ru на порт 443
2. Микротик редиректит (подменяет ip-адрес) запрос на свой адрес
3. Браузер пытается установить ssl-сессию с микротиком, но домен в сертификате не совпадает с доменом в адресной строке - и он выдает соответствующее предупрждение

При редиректе с http на https не должно быть такой ошибки.

[Марк Иваныч]

Ага, понятно. Кстати в Hotspot Address поставил просто 0.0.0.0 в DNS Name оставил hotspot.mydomen.ru и если зайти на https://hotspot.mydomen.ru/login то все окей https - зеленый)

Что получается невозможно сделать чтобы клиент с https перенаправлялся на хотспот без проблем? А то сейчас если на https://ya.ru зайти ошибка нарушение конфиденциальности и еще сама по себе открывается новая вкладка в которой уже хотспот загружается со страницы mydomen.ru/hotspot )

Проблемка еще в том что с mydomen.ru/hotspot не получается загрузить стили с других сайтов которые на https например стили и скрипты facebook, все в walled garden добавлено но они не грузятся.

[brutal_lobster]

Именно так, ssl не выйдет перенаправить - так и задумано.

Насчет стилей - нужно смотреть ошибку на клиенте.
В хроме: Developer tools - Console

[Марк Иваныч]

Толи FB толи роутер или браузер выделывается не пойму. Добавил в разрешенные
Домен: fbstatic-a.akamaihd.net

Однако fbstatic-a.akamaihd.net/rsrc.php/v2/yO/r/bxrg2tOMM... не грузит, а перенаправляет на хотспот и даже если https://fbstatic... всеравно кидает на хотспот ни смотря ни наxто)

Answer 2

[Марк Иваныч]

Итог
1. Сертификат не нужен.
2. Перенаправление c https на хотспот не работает или не возможно в принципе.
3. Скрипты и css c Facebook не грузятся если добавить домен в Walled Garden. У них каждые 20 сек обновляются ip-адреса. Почему то неработают следующие домены:
s-static.ak.facebook.com
fbcdn-profile-a.akamaihd.net
fbexternal-a.akamaihd.net
connect.facebook.net
fbstatic-a.akamaihd.net
когда как сам https://www.facebook.com загружается. В общем ХЗ.

Зато работает, если добавить все эти домены в Walled Garden IP List.