ProCurve und Aruba mit eigenen Zertifikate und SAN
Hallo zusammen,
ich bin nun schon seit über einem Tag am Basteln und habe sowohl die Suchfunktion(en) verwendet, als auch die KI ordentlich strapaziert.
Im Einsatz sind mehrere ProCurve 2910 und ein paar Aruba 2920 Switche, auf denen ich ein von meiner Windows Zertifizierungsstelle signiertes Zertifikat installieren möchte.
Was ich bisher unternommen habe:
Die CA wurde auf den Switch installiert.
Der CSR wurde direkt über den Switch erstellt
Das .cer (Binärzertifikat) wurde ohne Fehler auf den Switch geladen.
HTTPS funktioniert, allerdings gibt es eine Fehlermeldung: „ERR_CERT_COMMON_NAME_INVALID“. Die fehlenden Subject Alternative Names (SAN) sind hier das Problem. Leider konnte ich diese im CSR, das direkt vom Switch kommt, nicht einfügen.
Versuchte Lösungen:
1. Auf der Webseite der Zertifizierungsstelle unter Zusätzliche Attribute den SAN-Eintrag „san:dns=xxxx.xxxx&dns=xxxx“ hinterlegt. Das Zertifikat wurde jedoch ohne SAN ausgestellt.
2. Den CSR über SSH am Switch erstellt in der Hoffnung, dass ich das SAN dort einfügen kann. Leider ohne Erfolg.
3. Den CSR mit OpenSSL um das SAN erweitert und zur Signierung eingereicht. Das SAN war aber wieder nicht enthalten.
4. Einen komplett eigenen CSR mit OpenSSL erstellt und signieren lassen (inklusive SAN). Leider ließ sich der Switch nicht austricksen, da der über die Web-Oberfläche eingereichte CSR überschrieben wurde. Das Zertifikat stimmt somit nicht mit der CSR überein.
Ich hoffe, jemand hat eine Idee oder einen Ansatz, wie ich das Problem mit den SANs auf den ProCurve und Aruba Switchen lösen kann ohne das ich den Umweg über eine Reverse Proxy gehen muss.
Danke und viele Grüße.
ich bin nun schon seit über einem Tag am Basteln und habe sowohl die Suchfunktion(en) verwendet, als auch die KI ordentlich strapaziert.
Im Einsatz sind mehrere ProCurve 2910 und ein paar Aruba 2920 Switche, auf denen ich ein von meiner Windows Zertifizierungsstelle signiertes Zertifikat installieren möchte.
Was ich bisher unternommen habe:
Die CA wurde auf den Switch installiert.
Der CSR wurde direkt über den Switch erstellt
Das .cer (Binärzertifikat) wurde ohne Fehler auf den Switch geladen.
HTTPS funktioniert, allerdings gibt es eine Fehlermeldung: „ERR_CERT_COMMON_NAME_INVALID“. Die fehlenden Subject Alternative Names (SAN) sind hier das Problem. Leider konnte ich diese im CSR, das direkt vom Switch kommt, nicht einfügen.
Versuchte Lösungen:
1. Auf der Webseite der Zertifizierungsstelle unter Zusätzliche Attribute den SAN-Eintrag „san:dns=xxxx.xxxx&dns=xxxx“ hinterlegt. Das Zertifikat wurde jedoch ohne SAN ausgestellt.
2. Den CSR über SSH am Switch erstellt in der Hoffnung, dass ich das SAN dort einfügen kann. Leider ohne Erfolg.
3. Den CSR mit OpenSSL um das SAN erweitert und zur Signierung eingereicht. Das SAN war aber wieder nicht enthalten.
4. Einen komplett eigenen CSR mit OpenSSL erstellt und signieren lassen (inklusive SAN). Leider ließ sich der Switch nicht austricksen, da der über die Web-Oberfläche eingereichte CSR überschrieben wurde. Das Zertifikat stimmt somit nicht mit der CSR überein.
Ich hoffe, jemand hat eine Idee oder einen Ansatz, wie ich das Problem mit den SANs auf den ProCurve und Aruba Switchen lösen kann ohne das ich den Umweg über eine Reverse Proxy gehen muss.
Danke und viele Grüße.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670593
Url: https://administrator.de/forum/procurve-und-aruba-mit-eigenen-zertifikate-und-san-670593.html
Ausgedruckt am: 13.05.2025 um 01:05 Uhr
12 Kommentare
Neuester Kommentar
Der Fehler "ERR_CERT_COMMON_NAME_INVALID" besagt ja eher das der Common Name im Zertifikat falsch oder fehlerhaft eingegeben wurde. Der CN darf keine Leerzeichen oder Sonderzeichen enthalten.
Im Grunde sind die ToDos recht einfach. Hier einmal an einem einfachen Cisco SoHo Switch erklärt:
https://www.youtube.com/watch?v=RkpLeqHsrog
https://www.youtube.com/watch?v=1598cZptL8M
Das sollte bei den HP und Aruba Gurken identisch sein.
Einen Reverse Proxy brauchst du eigentlich auch nicht, denn in jedem Browser kannst du den Default Zertifikaten oder selbst Generierten über die Ausnahmefunktion ja mit einem einfachen Klick vertrauen. Dann poppt auch keine Warnmeldung mehr auf.
Im Grunde sind die ToDos recht einfach. Hier einmal an einem einfachen Cisco SoHo Switch erklärt:
https://www.youtube.com/watch?v=RkpLeqHsrog
https://www.youtube.com/watch?v=1598cZptL8M
Das sollte bei den HP und Aruba Gurken identisch sein.
Einen Reverse Proxy brauchst du eigentlich auch nicht, denn in jedem Browser kannst du den Default Zertifikaten oder selbst Generierten über die Ausnahmefunktion ja mit einem einfachen Klick vertrauen. Dann poppt auch keine Warnmeldung mehr auf.
Moin,
Gruß,
Dani
Im Einsatz sind mehrere ProCurve 2910 und ein paar Aruba 2920 Switche, auf denen ich ein von meiner Windows Zertifizierungsstelle signiertes Zertifikat installieren möchte.
hast du auf beiden Switches die neuste Firmware laufen?Gruß,
Dani
1
Vielen Dank für eure Rückmeldungen, @aqui und @Dani!
@Dani: Die Switche sind bereits auf die neueste Version aktualisiert.
@aqui: Bezüglich des Common Name: Dieser ist korrekt geschrieben. Ich habe ihn direkt aus der Adressleiste kopiert (ohne https:// und /).
Natürlich könnte man eine Ausnahme hinzufügen, aber wenn man schon Zertifikate über die PKI erstellt, möchte man das auch vollständig und sauber umsetzen. Andernfalls könnte man auch ein self-signed machen.
Ich habe hier zwei Bilder angehängt: eines vom Switch (ohne Zertifikate) und eines vom Browser, das das installierte Zertifikat zeigt. Es ist zwar möglich, das Zertifikat der CA zu installieren, jedoch nicht ein eigenes Zertifikat, das verwendet werden soll. Das funktioniert nur über ein CSR oder alternativ mit einem self-signed Zertifikat.
Vielleicht habt ihr oder jemand anderes noch eine Idee.
Danke im voraus.
@Dani: Die Switche sind bereits auf die neueste Version aktualisiert.
@aqui: Bezüglich des Common Name: Dieser ist korrekt geschrieben. Ich habe ihn direkt aus der Adressleiste kopiert (ohne https:// und /).
Natürlich könnte man eine Ausnahme hinzufügen, aber wenn man schon Zertifikate über die PKI erstellt, möchte man das auch vollständig und sauber umsetzen. Andernfalls könnte man auch ein self-signed machen.
Ich habe hier zwei Bilder angehängt: eines vom Switch (ohne Zertifikate) und eines vom Browser, das das installierte Zertifikat zeigt. Es ist zwar möglich, das Zertifikat der CA zu installieren, jedoch nicht ein eigenes Zertifikat, das verwendet werden soll. Das funktioniert nur über ein CSR oder alternativ mit einem self-signed Zertifikat.
Vielleicht habt ihr oder jemand anderes noch eine Idee.
Danke im voraus.
Spricht etwas dagegen, einfach ein fertiges Zertifikat auf den Switch zu importieren? Das könnte man einfach über die CA entsprechend anpassen, wie man es braucht und dann samt Privatekey exportieren und auf dem Switch importieren.
Bezüglich des Common Name: Dieser ist korrekt geschrieben
Komischerweise sagt die Fehlermeldung aber etwas komplett anderes...?!
@ketanest112 Vielen Dank für deine Rückmeldung! Ich habe es tatsächlich schon ausprobiert, bin aber entweder an meinem fehlenden Wissen gescheitert oder daran, dass der Switch diese Funktionalität nicht unterstützt. Weder über die Weboberfläche noch über SSH konnte ich eine entsprechende Option finden. Falls du das bereits erfolgreich umgesetzt hast, würde ich mich über mehr Details und Tipps freuen.
@aqui Da hast du auf jeden Fall Recht - dennoch sind weder Leerzeichen Sonderzeichen noch etwas anderes drin was ein Problemverusachen könnte. Ich habe das Zertifikat auf verschiedenen Wegen immer wieder gleich eingerichtet, wobei der CN stets der FQDN des Switches war. In einem anderen Beitrag habe ich gelesen, dass einige Switches ein Problem mit dem CN haben und deshalb zwingend der DNS benötigt wird.
Im CN steht drin: "vt1-sw02.domain.it" ohne " (Die Domain ist anonymisiert)
@aqui Da hast du auf jeden Fall Recht - dennoch sind weder Leerzeichen Sonderzeichen noch etwas anderes drin was ein Problemverusachen könnte. Ich habe das Zertifikat auf verschiedenen Wegen immer wieder gleich eingerichtet, wobei der CN stets der FQDN des Switches war. In einem anderen Beitrag habe ich gelesen, dass einige Switches ein Problem mit dem CN haben und deshalb zwingend der DNS benötigt wird.
Im CN steht drin: "vt1-sw02.domain.it" ohne " (Die Domain ist anonymisiert)
Falls du das bereits erfolgreich umgesetzt hast, würde ich mich über mehr Details und Tipps freuen.
Dass es geht, weiß ich, hab ich zumindest bei Aruba 2540ern (Vorgäner der 29er) schon gemacht. Aber frag bitte nicht mehr wie xD
Im CN steht drin: "vt1-sw02.domain.it" ohne " (Die Domain ist anonymisiert)
Wenn du die im Switch, also von dessen CLI einmal pingst kann der Switch diesen FQDN in eine IP auflösen?
@aqui guter Einwand - DNS war nicht hinterlegt. Domain-Address auch nicht.
Namensauflösung klappt nun am Switch.
Leider, trotz Änderung, verbessert sich an der Situation mit dem Zertifikat nichts. Hatte das Zertifikat auch nochmal neu erstellt.
Namensauflösung klappt nun am Switch.
Leider, trotz Änderung, verbessert sich an der Situation mit dem Zertifikat nichts. Hatte das Zertifikat auch nochmal neu erstellt.
Hab hier mal ein selbstsigniertes Zertifikat erstellt mit OpenSSL.
Zertifikatserstellung mit OpenSSL (Nur Server Zert.)
Und auf einen alten HPE 29er und einen Cisco SG300, CBS250 sowie Catalyst 2960 importiert was völlig problemlos klappte. CN allerdings mit einem einfachen Namen wie "Switch1" usw. Dort muss nicht zwingend ein Hostname oder IP stehen.
Zertifikatserstellung mit OpenSSL (Nur Server Zert.)
Und auf einen alten HPE 29er und einen Cisco SG300, CBS250 sowie Catalyst 2960 importiert was völlig problemlos klappte. CN allerdings mit einem einfachen Namen wie "Switch1" usw. Dort muss nicht zwingend ein Hostname oder IP stehen.
@aqui danke für dein Feedback. Das erstellen des Zertifikats über OpenSSL hatte ich bereits gemacht (Punkt 4 oben)
Allerdings bin ich am Import im Switch gescheitert. :/
Wenn da noch jemand n Tipp hat wäre ich äußerst Dankbar.
Allerdings bin ich am Import im Switch gescheitert. :/
Wenn da noch jemand n Tipp hat wäre ich äußerst Dankbar.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
