Jump to content
  • 0

Смена сертификата безопасности


Leksey118

Question

Xiaomi Mi6 Android 8 MIUI Global 10.0.1.0

Приложение Keenetic Beta 4 (54)

После обновления устройств до 2.15.A.3.0-0 в почту посыпались уведомления о несанкционированном доступе (смена сертификата безопасности на устройстве "xxxxx"). Собственно, в самом приложении при выборе сети, Главная - Мои Keenetic - тапаем по роутеру, получаем сообщение: "Ключ для xxxxx сменился, если вы этого не делали, то подключаться небезопасно", и  два варианта на выбор: "Не подключаться" и "Подключится" (отступление, скорее всего должно быть "Подключиться"). Нажимаем на "Подключится" и получаем ошибку "Неверный логин или пароль устройства. Пожалуйста, удалите Кинетик и добавьте его заново".

Так и должно быть или что пошло не так у меня?

Link to comment
Share on other sites

15 answers to this question

Recommended Posts

  • 0
37 минут назад, Leksey118 сказал:

Так и должно быть или что пошло не так у меня?

У меня такой проблемы нет, похоже у Вас что-то пошло не так.

Link to comment
Share on other sites

  • 0

@AlexSP Интересно или последовать совету по удалению и переподключению устройств? Пока попридержу до Вашего ответа.

Edited by Leksey118
не актуально
Link to comment
Share on other sites

  • 0

На устройствах в логах однотипные события при попытке "Подключится":

Дек 5 22:33:27 ndm Core::Authenticator: no such user: "null".
Дек 5 22:33:27 coalagent Wrong login or password.

 

Link to comment
Share on other sites

  • 0

После очистки данных приложения и удаления/добавления устройств в приложении трафик не показывается, всё по нулям.

Link to comment
Share on other sites

  • 0

@Leksey118 Сертификат сменился при обновлении прошивки из-за смены формата хранения данных. В дальнейшем он будет меняться только при сбросе интернет-центра на заводские настройки.
Подключиться (я исправил перевод, кстати, спасибо) вам не удалось потому, что мы еще не реализовали запрос пароля и переавторизацию для этого случая. Когда сделам, достаточно будет ввести пароль без удаления/добавления устройства.

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 07.12.2018 в 14:26, Alex Sh. сказал:

В дальнейшем он будет меняться только при сбросе интернет-центра на заводские настройки.

А вообще все сбрасываются сертификаты?

У меня было настроено несколько http proxy, пришлось по некоторым причинам сбросить до завода с восстановлением конфига. Тут замечаю, что пропал доступ к узлам за роутером по именам. Все записи ip http proxy в конфиге на месте а ip http ssl acme list показывает только один сертификат keenetic.pro. Пытаюсь выпустить заново для нужного имени - Obtaining certificate for domain "a.xxx.ru" is started но в списке сертификатов он не появляется ни через 5 мин ни через полчаса а в логах нахожу Acme::Runner: response code 302 (Moved Temporarily). Acme::Runner: check failed for domain "a.xxx.ru". Ок, пытаюсь отозвать ip http ssl acme revoke a.xxx.ru - Acme::Client: "a.xxx.zzz" certificate not found. Попробовал удалить и создать запись proxy заново - тоже не помогло.

Че делать? Прошивка последняя.

Link to comment
Share on other sites

  • 0
2 часа назад, Le ecureuil сказал:

Логи нужны когда  Obtaining certificate for domain "a.xxx.ru" is started , иначе непонятно ничего.

Так выше написал. Ну вот еще раз полнее, от и до, так сказать.

[I] Aug 15 11:01:17 ndm: Acme::Client: obtaining certificate for domain "a.xxx.ru" is started. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: loaded SSL certificate for "------.keenetic.io". 
[I] Aug 15 11:01:18 ndm: Http::Nginx: loaded SSL certificate for "-----.keenetic.pro". 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy b.xxx.ru to http://192.168.1.10:8084. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy c.xxx.ru to https://192.168.1.15:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy d.xxx.ru to https://192.168.1.118:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy e.xxx.ru to https://192.168.1.33:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy j.xxx.ru to https://192.168.1.11:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy h.xxx.ru to https://192.168.1.100:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy a.xxx.ru to https://192.168.1.140:443. 
[I] Aug 15 11:01:18 ndm: Core::Server: started Session /var/run/ndm.core.socket. 
[I] Aug 15 11:01:18 ndm: Core::Session: client disconnected. 
[I] Aug 15 11:01:18 ndm: Http::Manager: updated configuration. 
[I] Aug 15 11:01:18 ndm: Core::Server: started Session /var/run/ndm.core.socket. 
[I] Aug 15 11:01:19 ndm: Core::Session: client disconnected. 
[I] Aug 15 11:01:21 ndm: Acme::Runner: perform HTTP sanity checks for domain "a.xxx.ru". 
[I] Aug 15 11:01:21 ndm: Io::TcpSocket: connected to мой внешнийip:80. 
[E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily). 
[E] Aug 15 11:01:21 ndm: Acme::Runner: check failed for domain "a.xxx.ru". 
[I] Aug 15 11:01:21 ndm: Acme::Client: retry #4 after 90s. 

ну и повторяется несколько раз

Link to comment
Share on other sites

  • 0

Да, это очень неочевидно было.

Вообще в ситуации когда нужен well-known адрес, как понять, терминировать его на роутере или пробрасывать дальше, на proxy? У меня нет однозначного решения, потому и посоветовали удалять перед получением.

Кстати через 90 дней это нужно будет сделать снова.

Link to comment
Share on other sites

  • 0

не вспомню, как это было изначально (до сброса), выпускал-ли я сертификат сначала а потом уже делал записи прокси но мне кажется что наоборот

а сделать что бы сам перевыпустился нельзя? "should-be-renewed: no" кагбэ намекает

Link to comment
Share on other sites

  • 0
20 часов назад, Андрэ Палыч сказал:

не вспомню, как это было изначально (до сброса), выпускал-ли я сертификат сначала а потом уже делал записи прокси но мне кажется что наоборот

а сделать что бы сам перевыпустился нельзя? "should-be-renewed: no" кагбэ намекает

Я описал выше: возникает неразрешимая ситуация с тем, как должен себя вести well-known: пробрасываться внутрь или терминироваться на роутере. Мы выбрали первый вариант, и если у вас acme-клиент находится на проксируемом сервере, то все будет ок. Второй будет многим неочевиден.

Link to comment
Share on other sites

  • 0

Ошибка
[E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily).
возникает из-за ip http ssl redirect, который действует и на проксируемые домены.
Если отключить редирект на SSL, то получение сертификата проходит успешно и без удаления записей из прокси.
"should-be-renewed: no" скорее всего говорит о том, что сертификат продлять ещё рано.
Сертификат можно продлить не ранее, чем за месяц до истечения срока действия.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...