Foro

Avatar de ximocb
ximocb
Más integrado que la RDSI
17-10-2020
Resuelto

Acceso https a Router Movistar - MitraStar GPT-2541GNAC

Hola, Tengo una webcam conectada al router y necesito acceder a ella por https puesto que Chrome ya no permite tener contenido http en páginas https.    He habilitado el puerto 443 pero sigo sin a...
ssl https csr
  • Avatar de Theliel
    Theliel
    20-10-2020

    Buenas ximocb 

     

    Pues en caso de ser necesario, que no sé que error realmente te dice, la única forma sería modificar los certificados internos que usa la cámara, siendo la única forma posible el que la propia cámara te de acceso a ello, generalmente por la Interfaz Web. Si la interfaz Web de la cámara no te da opción a ello, y no te dan más acceso que no sea por web, no podrás instalar tus propios certificados en ella, y no hay nada que puedas nacer.

     

    El error que te lanza por otro lado es claro, simplemente el CN no se corresponde con tu dominio.

     

    Para que un certificado sea válido completamente, se deben de dar una serie, no pocas, de circunstancias:

     

    1º. El CN (CommonName) o algún SAN (Subject Alternative Name) especificado debe de coincidir con el dominio/ip usado. Es  decir que si el dominio es micamara.es, el certificado se ha tenido que emitir para micamara.es (CN) o al menos estar presente en uno de los dominios/ip especificados en las propiedades SAN del certificado. Lo mismo puede hacerse para una IP, si la IP es 192.125.123.123, esta debe de estar contenida o en el CN o en SAN.

     

    2º. Igual de importante es que el certificado proceda de un CA que tu navegador (o aplicación) confíe.

     

    La inmensa mayoría de los certificados preinstalados en cualquier dispositivo como Router, cámaras, Switch, APs... obviamente no son válidos totalmente. En el mejor de los casos el dispositivo genera uno autofirmado para la IP local que está usando, nada más. Esto a día de hoy puede dar a malentendidos, porque cualquier navegador va a rechazar un certificado autofirmado aun cuando corresponde al mismo dominio por defecto, a menos que se cree una excepción en el navegador

     

    Las páginas Web seguras siempre y cuando el certificado sea emitido por una entidad de confianza (CA) que a su vez reconozca el navegador Web (navegador, sistema operativo, aplicación...). Yo puedo crear ahora mismo un certificado para el dominio/ip que sea igual al que usa Google por ejemplo, pero para que tenga validez real tiene que estar firmado por un CA reconocible. Sí, puedo generarlo y firmarlo con mi CA, pero mi CA no va a estar jamás incluido en ningún lado que no instale yo, con lo que cualquiera que no tenga el certificado de mi CA instalado, le dará error de emisor por CA.

     

    El CN es igual, si intentas acceder a una web con un CN diferente, el error es inmediato. Entenderás que per sé, es imposible que el dispositivo que sea tenga un certificado para el dominio X, ya que el dominio es algo que vasa a escoger tú. En todo caso podría tener herramientas para generar un certificado autofirmado para dicho dominio, y aunque no fuese validado por ningún CA reconocible, siempre podrías usarlo añadiendo simplemente una excepción en tu navegador.

     

    ------------------------

     

    Así que... generar un certificado para tu dominio es trivial, pero la cámara tendría que permitir instalar el certificado, la clave privada adjunta y el CA emisor (el CA raiz y si hay un CA intermedio también). Si no lo permite hacer, no podrás tener un certificado mínimamente válido, y menos si el CN ni siquiera coincide. Eso sin entrar en  otros posible problemas o malformaciones que el certificado que trae por defecto pueda tener.

     

    No conozco la cámara no tengo ni idea si te dará o no dichas opciones. Es muy posible que no, aunque también es muy posible que sí se pueda cambiar. Cualquier dispositivo que mínimamente se precie a día de hoy, te lo debería de permitir. Yo es algo que suelo SIEMPRE hacer y tomo de costumbre, tengo mi propia infraestructura de certificación y cuando tengo cualquier dispositivo nuevo le emito uno, se lo instalo y listo. No, no es un CA universalmente reconocido, pero para mi no es un problema porque mis CA raíces e intermedios están instalados en todos mis dispositivos, con lo que validan cualquier otro certificado emitido por mí.

Avatar de Técnico-Movistar
Técnico-Movistar
Responsable Técnico
19-10-2020

Buenos días ximocb

 

Hemos recibido tus datos correctamente, comprobamos que en el router tienes instalada la última versión de fw, ¿has intentado resetear  el router y vuelto a abrir los puertos?, si no lo has efectuado, cuando tengas la posibilidad, efectúalo y nos comentas, no obstante, te facilito este hilo por si te puede servir de ayuda.

 

Quedamos a la espera de tu respuesta.

 

Un saludo

 

Victoria 

  • Avatar de ximocb
    ximocb
    Más integrado que la RDSI
    19-10-2020

    Hola, 

     

    Los puertos funcionan bien.  Lo que necesito es obtener un CSR válido.

     

    El que me proporciona este router, al no incluir Ciudad y longitud no supera los 2048 bytes, incumple las directrices del CA/Browser Forum (Certification Authority Browser Forum) y no me permiten usarlo en el proveedor de ddns dinámico.

     

    ¿Qué puedo hacer? ¿Tenéis un router más moderno con un firmware más actualizado que permita generar un CSR válido?

     

    Muchas gracias

    Saludos,