Смена сертификата безопасности

Leksey118 · December 5, 2018

Xiaomi Mi6 Android 8 MIUI Global 10.0.1.0

Приложение Keenetic Beta 4 (54)

После обновления устройств до 2.15.A.3.0-0 в почту посыпались уведомления о несанкционированном доступе (смена сертификата безопасности на устройстве "xxxxx"). Собственно, в самом приложении при выборе сети, Главная - Мои Keenetic - тапаем по роутеру, получаем сообщение: "Ключ для xxxxx сменился, если вы этого не делали, то подключаться небезопасно", и два варианта на выбор: "Не подключаться" и "Подключится" (отступление, скорее всего должно быть "Подключиться"). Нажимаем на "Подключится" и получаем ошибку "Неверный логин или пароль устройства. Пожалуйста, удалите Кинетик и добавьте его заново".

Так и должно быть или что пошло не так у меня?

Rootdiv · December 5, 2018

37 минут назад, Leksey118 сказал:

Так и должно быть или что пошло не так у меня?

У меня такой проблемы нет, похоже у Вас что-то пошло не так.

Leksey118 · December 5, 2018

@AlexSP ~~Интересно или последовать совету по удалению и переподключению устройств? Пока попридержу до Вашего ответа.~~

Edited December 6, 2018 by Leksey118
не актуально

Leksey118 · December 5, 2018

На устройствах в логах однотипные события при попытке "Подключится":

Дек 5 22:33:27 ndm Core::Authenticator: no such user: "null".
Дек 5 22:33:27 coalagent Wrong login or password.

Leksey118 · December 6, 2018

После очистки данных приложения и удаления/добавления устройств в приложении трафик не показывается, всё по нулям.

Alex Sh. · December 7, 2018

@Leksey118 Сертификат сменился при обновлении прошивки из-за смены формата хранения данных. В дальнейшем он будет меняться только при сбросе интернет-центра на заводские настройки.
Подключиться (я исправил перевод, кстати, спасибо) вам не удалось потому, что мы еще не реализовали запрос пароля и переавторизацию для этого случая. Когда сделам, достаточно будет ввести пароль без удаления/добавления устройства.

Андрэ Палыч · August 11, 2021

В 07.12.2018 в 14:26, Alex Sh. сказал:

В дальнейшем он будет меняться только при сбросе интернет-центра на заводские настройки.

А вообще все сбрасываются сертификаты?

У меня было настроено несколько http proxy, пришлось по некоторым причинам сбросить до завода с восстановлением конфига. Тут замечаю, что пропал доступ к узлам за роутером по именам. Все записи ip http proxy в конфиге на месте а ip http ssl acme list показывает только один сертификат keenetic.pro. Пытаюсь выпустить заново для нужного имени - Obtaining certificate for domain "a.xxx.ru" is started но в списке сертификатов он не появляется ни через 5 мин ни через полчаса а в логах нахожу Acme::Runner: response code 302 (Moved Temporarily). Acme::Runner: check failed for domain "a.xxx.ru". Ок, пытаюсь отозвать ip http ssl acme revoke a.xxx.ru - Acme::Client: "a.xxx.zzz" certificate not found. Попробовал удалить и создать запись proxy заново - тоже не помогло.

Че делать? Прошивка последняя.

Alex Sh. · August 12, 2021

14 часа назад, Андрэ Палыч сказал:

Че делать? Прошивка последняя.

По Acme я не берусь консультировать. Использую звонок другу! @ndm @Le ecureuil

Андрэ Палыч · August 14, 2021

@Le ecureuil нет решения?

Le ecureuil · August 15, 2021

Логи нужны когда Obtaining certificate for domain "a.xxx.ru" is started , иначе непонятно ничего.

Андрэ Палыч · August 15, 2021

2 часа назад, Le ecureuil сказал:

Логи нужны когда Obtaining certificate for domain "a.xxx.ru" is started , иначе непонятно ничего.

Так выше написал. Ну вот еще раз полнее, от и до, так сказать.

[I] Aug 15 11:01:17 ndm: Acme::Client: obtaining certificate for domain "a.xxx.ru" is started.
[I] Aug 15 11:01:18 ndm: Http::Nginx: loaded SSL certificate for "------.keenetic.io".
[I] Aug 15 11:01:18 ndm: Http::Nginx: loaded SSL certificate for "-----.keenetic.pro".
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy b.xxx.ru to http://192.168.1.10:8084.
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy c.xxx.ru to https://192.168.1.15:443.
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy d.xxx.ru to https://192.168.1.118:443.
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy e.xxx.ru to https://192.168.1.33:443.
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy j.xxx.ru to https://192.168.1.11:443.
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy h.xxx.ru to https://192.168.1.100:443.
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy a.xxx.ru to https://192.168.1.140:443.
[I] Aug 15 11:01:18 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Aug 15 11:01:18 ndm: Core::Session: client disconnected.
[I] Aug 15 11:01:18 ndm: Http::Manager: updated configuration.
[I] Aug 15 11:01:18 ndm: Core::Server: started Session /var/run/ndm.core.socket.
[I] Aug 15 11:01:19 ndm: Core::Session: client disconnected.
[I] Aug 15 11:01:21 ndm: Acme::Runner: perform HTTP sanity checks for domain "a.xxx.ru".
[I] Aug 15 11:01:21 ndm: Io::TcpSocket: connected to мой внешнийip:80.
[E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily).
[E] Aug 15 11:01:21 ndm: Acme::Runner: check failed for domain "a.xxx.ru".
[I] Aug 15 11:01:21 ndm: Acme::Client: retry #4 after 90s.

ну и повторяется несколько раз

Андрэ Палыч · August 25, 2021

поддержка помогла, удалил записи proxy (все, на всякий случай), выпустил сертификат, восстановил записи proxy

Le ecureuil · August 25, 2021

Да, это очень неочевидно было.

Вообще в ситуации когда нужен well-known адрес, как понять, терминировать его на роутере или пробрасывать дальше, на proxy? У меня нет однозначного решения, потому и посоветовали удалять перед получением.

Кстати через 90 дней это нужно будет сделать снова.

Андрэ Палыч · August 25, 2021

не вспомню, как это было изначально (до сброса), выпускал-ли я сертификат сначала а потом уже делал записи прокси но мне кажется что наоборот

а сделать что бы сам перевыпустился нельзя? "should-be-renewed: no" кагбэ намекает

Le ecureuil · August 26, 2021

20 часов назад, Андрэ Палыч сказал:

не вспомню, как это было изначально (до сброса), выпускал-ли я сертификат сначала а потом уже делал записи прокси но мне кажется что наоборот

а сделать что бы сам перевыпустился нельзя? "should-be-renewed: no" кагбэ намекает

Я описал выше: возникает неразрешимая ситуация с тем, как должен себя вести well-known: пробрасываться внутрь или терминироваться на роутере. Мы выбрали первый вариант, и если у вас acme-клиент находится на проксируемом сервере, то все будет ок. Второй будет многим неочевиден.

Andrey Anikin · January 20, 2022

Ошибка
[E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily).
возникает из-за ip http ssl redirect, который действует и на проксируемые домены.
Если отключить редирект на SSL, то получение сертификата проходит успешно и без удаления записей из прокси.
"should-be-renewed: no" скорее всего говорит о том, что сертификат продлять ещё рано.
Сертификат можно продлить не ранее, чем за месяц до истечения срока действия.

Sign In

Смена сертификата безопасности

Question

Link to comment

Share on other sites

15 answers to this question

Recommended Posts

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Link to comment

Share on other sites

Join the conversation

Recently Browsing 0 members