Importar certificado SSL personalizado en Zyxel GS1920-8HPv2

tag-icon tag-icon ssl-certificate openssl switch certificate-authority zyxel
Importar certificado SSL personalizado en Zyxel GS1920-8HPv2

Tengo un problema al importar un certificado SSL de servidor para

Conexión web https en myZyxel GS1920-8HPv2.

En la WebGui del Switch, hay información de que el certificado y la clave

Tiene que estar en un contenedor pkcs12.

Hice lo siguiente para crear el servidor crt:

generar una clave privada:

openssl genrsa \
    -aes256 \
    -out private/zyxel-server.key.pem 4096

generar un rsc:

openssl req \
       -config openssl.cnf \
       -key private/zyxel-server.key.pem\
       -new -sha512 \
       -out csr/zyxel-server.csr.pem

crear el certificado firmado desde mi ca:

openssl ca -config openssl.cnf \
           -extensions server_cert_zyxel \
           -days 1095 -notext -batch -md sha512 \
           -passin file:mypass.enc \
           -in csr/zyxel-server.csr.pem \
           -out certs/zyxel-server.pem

Luego construí el contenedor packs12:

openssl pkcs12 \
       -export \
       -out cert.pfx \
       -inkey private/zyxel-server.key.pem \
       -in certs/zyxel-server.pem \
       -certfile certs/ca.cert.pem \

También probé la opción "certfile" con cadena completa (ca + intermedio):

openssl pkcs12 \
       -export \
       -out cert.pfx \
       -inkey private/zyxel-server.key.pem \
       -in certs/zyxel-server.pem \
       -certfile certs/ca-fullchain.cert.pem \

Pero cuando intento importar el contenedor pkcs12, el conmutador se ejecuta en un tiempo de espera sin ningún mensaje de registro.

¿Es correcto el procedimiento que realicé al crear el contenedor pkcs12 y alguien tiene una idea de cómo importar el certificado del servidor en este conmutador zyxel?

Respuesta1

Mientras tanto encontré una solución para solucionar el problema:

Si creo el contenedor pkcs12 con openssl 3.0.2 (ubuntu 22.04) e importo el contenedor a mi iPhone y al conmutador zyxel, no funciona.

si creo el contenedor pkcs12 con openssl 1.1.1.f (ubuntu 20.04), funciona.

Si creo un contenedor pkcs12 con openssl 3.0.2 e intento leer (información de openssl pkcs12...) el contenedor con openssl1.1.1, aparece el siguiente mensaje de error:

Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Error outputting keys and certificates
4047620DD67F0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:../crypto/evp/evp_fetch.c:349:Global default library context, Algorithm (RC2-40-CBC : 0), Properties ()

Parece que openssl 3.0 usa otro algoritmo para construir el contenedor y las aplicaciones que usan openssl 1.XX no pueden abrir ni procesar estos archivos.

información relacionada