cornyriegelchen
Goto Top

ProCurve und Aruba mit eigenen Zertifikate und SAN

Hallo zusammen,

ich bin nun schon seit über einem Tag am Basteln und habe sowohl die Suchfunktion(en) verwendet, als auch die KI ordentlich strapaziert.

Im Einsatz sind mehrere ProCurve 2910 und ein paar Aruba 2920 Switche, auf denen ich ein von meiner Windows Zertifizierungsstelle signiertes Zertifikat installieren möchte.

Was ich bisher unternommen habe:

Die CA wurde auf den Switch installiert.
Der CSR wurde direkt über den Switch erstellt
Das .cer (Binärzertifikat) wurde ohne Fehler auf den Switch geladen.

HTTPS funktioniert, allerdings gibt es eine Fehlermeldung: „ERR_CERT_COMMON_NAME_INVALID“. Die fehlenden Subject Alternative Names (SAN) sind hier das Problem. Leider konnte ich diese im CSR, das direkt vom Switch kommt, nicht einfügen.

Versuchte Lösungen:

1. Auf der Webseite der Zertifizierungsstelle unter Zusätzliche Attribute den SAN-Eintrag „san:dns=xxxx.xxxx&dns=xxxx“ hinterlegt. Das Zertifikat wurde jedoch ohne SAN ausgestellt.
2. Den CSR über SSH am Switch erstellt in der Hoffnung, dass ich das SAN dort einfügen kann. Leider ohne Erfolg.
3. Den CSR mit OpenSSL um das SAN erweitert und zur Signierung eingereicht. Das SAN war aber wieder nicht enthalten.
4. Einen komplett eigenen CSR mit OpenSSL erstellt und signieren lassen (inklusive SAN). Leider ließ sich der Switch nicht austricksen, da der über die Web-Oberfläche eingereichte CSR überschrieben wurde. Das Zertifikat stimmt somit nicht mit der CSR überein.

Ich hoffe, jemand hat eine Idee oder einen Ansatz, wie ich das Problem mit den SANs auf den ProCurve und Aruba Switchen lösen kann ohne das ich den Umweg über eine Reverse Proxy gehen muss.

Danke und viele Grüße.

Content-ID: 670593

Url: https://administrator.de/forum/procurve-und-aruba-mit-eigenen-zertifikate-und-san-670593.html

Printed on: January 14, 2025 at 06:01 o'clock

aqui
aqui Jan 10, 2025 updated at 09:29:55 (UTC)
Goto Top
Der Fehler "ERR_CERT_COMMON_NAME_INVALID" besagt ja eher das der Common Name im Zertifikat falsch oder fehlerhaft eingegeben wurde. Der CN darf keine Leerzeichen oder Sonderzeichen enthalten.
Im Grunde sind die ToDos recht einfach. Hier einmal an einem einfachen Cisco SoHo Switch erklärt:
https://www.youtube.com/watch?v=RkpLeqHsrog
https://www.youtube.com/watch?v=1598cZptL8M
Das sollte bei den HP und Aruba Gurken identisch sein.

Einen Reverse Proxy brauchst du eigentlich auch nicht, denn in jedem Browser kannst du den Default Zertifikaten oder selbst Generierten über die Ausnahmefunktion ja mit einem einfachen Klick vertrauen. Dann poppt auch keine Warnmeldung mehr auf.
Dani
Dani Jan 12, 2025 at 20:22:31 (UTC)
Goto Top
Moin,
Im Einsatz sind mehrere ProCurve 2910 und ein paar Aruba 2920 Switche, auf denen ich ein von meiner Windows Zertifizierungsstelle signiertes Zertifikat installieren möchte.
hast du auf beiden Switches die neuste Firmware laufen?


Gruß,
Dani
CornYriEgelchen
CornYriEgelchen Jan 13, 2025 at 07:17:23 (UTC)
Goto Top
Vielen Dank für eure Rückmeldungen, @aqui und @Dani!

@Dani: Die Switche sind bereits auf die neueste Version aktualisiert.

@aqui: Bezüglich des Common Name: Dieser ist korrekt geschrieben. Ich habe ihn direkt aus der Adressleiste kopiert (ohne https:// und /).

Natürlich könnte man eine Ausnahme hinzufügen, aber wenn man schon Zertifikate über die PKI erstellt, möchte man das auch vollständig und sauber umsetzen. Andernfalls könnte man auch ein self-signed machen.

Ich habe hier zwei Bilder angehängt: eines vom Switch (ohne Zertifikate) und eines vom Browser, das das installierte Zertifikat zeigt. Es ist zwar möglich, das Zertifikat der CA zu installieren, jedoch nicht ein eigenes Zertifikat, das verwendet werden soll. Das funktioniert nur über ein CSR oder alternativ mit einem self-signed Zertifikat.

Vielleicht habt ihr oder jemand anderes noch eine Idee.
Danke im voraus.
ssl_fehler
switch_ssl
ketanest112
ketanest112 Jan 13, 2025 at 09:04:29 (UTC)
Goto Top
Spricht etwas dagegen, einfach ein fertiges Zertifikat auf den Switch zu importieren? Das könnte man einfach über die CA entsprechend anpassen, wie man es braucht und dann samt Privatekey exportieren und auf dem Switch importieren.
aqui
aqui Jan 13, 2025 at 09:44:18 (UTC)
Goto Top
Bezüglich des Common Name: Dieser ist korrekt geschrieben
Komischerweise sagt die Fehlermeldung aber etwas komplett anderes...?!
CornYriEgelchen
CornYriEgelchen Jan 13, 2025 updated at 14:01:51 (UTC)
Goto Top
@ketanest112 Vielen Dank für deine Rückmeldung! Ich habe es tatsächlich schon ausprobiert, bin aber entweder an meinem fehlenden Wissen gescheitert oder daran, dass der Switch diese Funktionalität nicht unterstützt. Weder über die Weboberfläche noch über SSH konnte ich eine entsprechende Option finden. Falls du das bereits erfolgreich umgesetzt hast, würde ich mich über mehr Details und Tipps freuen.

@aqui Da hast du auf jeden Fall Recht - dennoch sind weder Leerzeichen Sonderzeichen noch etwas anderes drin was ein Problemverusachen könnte. Ich habe das Zertifikat auf verschiedenen Wegen immer wieder gleich eingerichtet, wobei der CN stets der FQDN des Switches war. In einem anderen Beitrag habe ich gelesen, dass einige Switches ein Problem mit dem CN haben und deshalb zwingend der DNS benötigt wird.

Im CN steht drin: "vt1-sw02.domain.it" ohne " (Die Domain ist anonymisiert)
ketanest112
ketanest112 Jan 13, 2025 at 17:10:53 (UTC)
Goto Top
Falls du das bereits erfolgreich umgesetzt hast, würde ich mich über mehr Details und Tipps freuen.

Dass es geht, weiß ich, hab ich zumindest bei Aruba 2540ern (Vorgäner der 29er) schon gemacht. Aber frag bitte nicht mehr wie xD