Zyxel switch und selbst-signierte ssl-Zertifikate

the other

the other

Well-known member
Moinsen,
wie an anderer Stelle hier im Forum kurz beschrieben: in meinem LAN tummelt sich neue Hardware (https://forum.heimnetz.de/threads/umbau-im-eigenen-heimnetzwerk.4595/#post-46796).
Unter anderem nenne ich jetzt einen Zyxel XS-1930 (10 Ports) mein Eigen. Alles eigentlich bisher ganz ok. Es ergibt sich allerdings ein Problem, das sich bisher nicht lösen lies.
Ich nutze selbst-signierte ssl-Zertifikate. Ich konnte dem Zyxel switch allerdings bisher noch nicht mein Zertifikat übergeben.
Gebraucht wird ein PKCS#12 formatiges Zertifikat...
Habe ich also angefertigt, mal mit und mal ohne Passwort. Firmware auf dem switch ist die aktuellste Version. Ich habe mich an die Anleitung gehalten, Zertifikat erstellt, über GUI zu importieren versucht. Es klappt nicht.
Was passiert: ich gebe den Speicherort ein, trage das Passwort (wie gesagt, mit und ohne versucht) ein, drücke Apply...und bekomme direkt eine Fehlermeldung im Browser. Gut, dachte ich, ist ein neues Zertifikat...aber nein. Erst muss ich das Browserfenster aktualisieren, damit überhaupt etwas reagiert, dann wird aber weiterhin nur das Herstellerzertifikat angezeigt. Im Netz ist dazu leider überraschend wenig zu finden, ein ähnlicher Fehler wird auch beschrieben.

Ich wollte also hier mal fragen: benutzt hier eine*r Zyxel switch mit eigenem Zertifikat? Falls ja: wie seid ihr da vorgegangen?? Danke für euren Input! :)
 
Moinsen,
jau, eben erneut probiert: gleiches Ergebnis. Ergänzend zu oben: der switch funktioniert selber durchaus weiter, soll bedeuten, alle anderen Geräte im Heimnetzwerk bleiben erreichbar, auch Zugang zum Internet ist da. Allerdings reagiert die switch GUI nicht mehr. Ein Aktualisieren des Fensters führt dann dazu, dass der switch nicht mehr erreichbar ist. Vom PC aus weder per hostname, noch IP, weder https oder auch https. Und auch ein Ping geht dann mit "host unreachable" ins Nirvana...Geräte im Netz funktionieren über ihre GUI trotzdem lustig weiter und reagieren auch auf Eingaben.
Erst ein Ziehen des Netzsteckers (Strom) und anschließender Neustart (wieder mit altem Zertifikat, keine Spur vom eigenen) führt dann wieder zu funktionierender Erreichbarkeit per Browser und Ping.
Ich mach es mir jetzt mal einfach und sage: Falsch implementiert bei Zyxel...
Lasse mich aber wie gesagt gerne eines Besseren belehren (und mir unter die Arme greifen). :)
 
the other schrieb:
Firmware auf dem switch ist die aktuellste Version.
Zum Vergrößern anklicken....
https://community.zyxel.com/en/disc...ficate-to-zyxel-1930-10-to-avoid-ssl-error/p2

Das wäre jetzt auch erstmal mein erster Ansatz gewesen... Danach gab es nochmal ein Update, da sah es wohl auch nicht so rosig aus:

https://community.zyxel.com/en/discussion/17795/new-xs1930-10-issue

Ich weiss, ist doof zu fragen, aber... kennste ja... https://www.zyxel.com/us/en-us/support/download?model=xs1930-10, ist auch ganz sicher die Firmware mit Stand "4.80(ABQE.3)C0"? Weiter unten auf der Seite ist noch die Firmware "V4.80(ABQE.1)C0" zu finden (Release-Date: 02/22/2023), vielleicht bin ich ja blind, oder blöd, aber in den Release-Notes der letzten Firmware, sehe ich diesbezüglich auch nix.

Hast den Import des Zertifikates mal über die CLI versucht? Wäre hier nachzulesen: https://download.zyxel.com/XS1930-10/cli_reference_guide/XS1930-10_V4.80-4.90_Ed1.pdf (Seite 54, Kapitel 14)
 
Moinsen,
besten Dank für die Infos, @blurrrr!
Ich schau mir das die Tage mal in Ruhe an, vor allem den letzten deiner links.
Und (ein weiterer 🤦‍♂️an meine Wenigkeit...seufz): aktualisiere gerade auf 4.80 (ABQE.3)...war noch bei .2. Verdammt. Da denkste du hast alles dreimal angeschaut und verglichen...aber gut, auch dafür ist das Forum ja da, 4(plus X) Augen Prinzip.
Dank dir... :)
Mal sehen, ob das Update sauber durchläuft.
EDIT: ist sauber durchgelaufen, switch GUI reagiert etwas flinker. Sache mit dem Zertifikat mach ich die Tage mal...heute will ich nicht mehr in den Keller...war schon dreimal. ;)

Bisher bilde ich mir doch ein, einen deutlichen Unterschied zu den Optionen (GUI) von zB ciscos Modellen zu bemerken. Gerade die Anzahl der Optionen, auch zB ssh nur mit Passwort bei zyxel...hm, naja. Ist ja nur für den eigenen Keller. ;) Dafür isser schnell und günstig. Das cisco Equivalent hätte dreimal soviel gekostet...da hätte ich den Igel in der Hose künftig in der Unterhose tragen dürfen.🤪
 
Zuletzt bearbeitet:
Ich habe auch einen Zyxel XS1930-10 ... mit eigenen Zertifikaten. Und durch Deinen Post habe ich bemerkt, dass meines auch bald ausläuft. :D
Ich konnte es ohne Probleme hochladen. Hast Du auch ein "Server-Zertifikat" generiert?
 
Moinsen @Barungar,
Danke für deinen input.
Ich generiere meine Zertifikate über die pfsense. Ja, es ist ein Server- und kein Userzertifikat.
Ich habe...
...es als pem exportiert und mit openssl ins benötigte pkcs12 gewandelt. Ergebnis wie oben.
...es als pkcs12 direkt exportiert. Kein Export Passwort gesetzt. Ergebnis wie oben.
...es als pkcs direkt MIT Passwort versucht. Ergebnis wie oben.
Alles mit drei unterschiedlichen Zertifikaten versucht.:(
Als würde der switch in Teilen abstürzen.
Immerhin konnte ich damit dir eine kleine Erinnerungshilfe geben. :)
Ich versuche es wie gesagt die Tage wieder, vielleicht bringt der Versionssprung ja auch den kleinen Kick.
Bist du denn sonst happy mit dem Teil?
 
Moinsen.
Website nicht erreichbar. O.ä. Je nach Gusto. ;)
Ich bin einfach mal hoffnungsvoller Dinge. Der community link oben sagt ja, dass im Mai bereits Abhilfe geschaffen wurde (zumindest für den spanischen User dort), das aktuelle .3 Update datiert danach...also sollte es ja nicht schlecht aussehen.
Ich geb auf jeden Fall Meldung, wie es gelaufen ist.

Und die in post #7 verlinkten Meldung hab ich nicht bekommen, arbeite aber eh an dieser Stelle mit rsa statt ecdsa. :)
 
Zuletzt bearbeitet von einem Moderator:
Ich generiere die Zertifikate mit der OPNsense. Und exportiere auch direkt ins p12-Format. Der p12-Export der OPNsense enthält dabei das CA, das CERT und den User-Key. Das habe ich mit einem Passwort versehen und dann konnte ich es im Switch importieren.
 
Moinsen,
so. Mit dem ersten Kaffee direkt ans Werk gemacht und ausprobiert...
Tja, was soll ich sagen: das Update war die Lösung! Einfach wieder das p12 mit Exportpasswort eingefügt, wurde direkt angezeigt und es hat alles funktioniert wie erwartet.
Problem gelöst! Danke für eure Ideen und Tipps!! :)
 
Falls es noch nicht geklappt hat bei Dir... ich habe es heute auch nochmal probiert bei mir, mit einem anderen Zertifikat und es hat bei mir auch nicht funktioniert.
Letztlich habe ich es auf die "harte Tour" gemacht. :D

  1. FTP auf dem switch aktiviert.
  2. Zertifikat im p12-Format mit dem Namen "https-cert" (ohne "" - der Name MUSS so lauten) hochgeladen
  3. SSH Verbindung mit dem Switch hergestellt
  4. auf der SSH-Console Befehl "import certificates https" abgesetzt
Antwort des Switches:
Password:
Import Successfully.

Das Passwort ist das vom Zertifikat bei mir einfach nur [Enter], weil ich keines gesetzt hatte.
Ist zwar etwas umständlicher, aber hat sofort funktioniert.

Den Erfolg konnt man auch sofort in der WebUI betrachten:
1714203499275.png
 
Moinsen @Barungar,
doch, nach dem Update auf die neueste Firmware hat es sofort funktioniert. Auch mit einem anderen Namen (hier "switch_certificate"...)
Einfach gemacht wie immer: aus der pfsense auf den PC geladen, dann über siwtch GUI importiert, war sofort gelöst. Und ich hab hier auch nur mit Enter als (leeres) Passwort gearbeitet, hat ebenfalls ohne Mucken geklappt.
Trotzdem herzlichen Dank für deinen Hinweis! :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Gesamt: 73 (Mitglieder: 5, Gäste: 68)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
4.574
Beiträge
46.840
Mitglieder
4.209
Neuestes Mitglied
Kiter20

Teilen

Zurück
Oben