在Zyxel GS1920-8HPv2中导入自定义SSL证书

Question

我在导入服务器ssl证书时遇到了问题。

myZyxel GS1920-8HPv2上的https网络连接。

在交换机的WebGui上，有一个信息，即证书和密钥

必须在pkcs12容器中。

我做了以下工作来创建服务器crt：

生成私钥：

openssl genrsa \
    -aes256 \
    -out private/zyxel-server.key.pem 4096

产生企业社会责任：

openssl req \
       -config openssl.cnf \
       -key private/zyxel-server.key.pem\
       -new -sha512 \
       -out csr/zyxel-server.csr.pem

从我的ca创建签名证书：

openssl ca -config openssl.cnf \
           -extensions server_cert_zyxel \
           -days 1095 -notext -batch -md sha512 \
           -passin file:mypass.enc \
           -in csr/zyxel-server.csr.pem \
           -out certs/zyxel-server.pem

然后我构建了pcks12容器：

openssl pkcs12 \
       -export \
       -out cert.pfx \
       -inkey private/zyxel-server.key.pem \
       -in certs/zyxel-server.pem \
       -certfile certs/ca.cert.pem \

我还测试了"certfile“选项和完全链(ca +中间体)：

openssl pkcs12 \
       -export \
       -out cert.pfx \
       -inkey private/zyxel-server.key.pem \
       -in certs/zyxel-server.pem \
       -certfile certs/ca-fullchain.cert.pem \

但是，当我试图导入pkcs12容器时，开关在没有任何日志消息的情况下处于超时状态。

这个过程是否正确，就像我在创建pkcs12容器时所做的那样，并且有人知道如何在这个zyxel开关上导入服务器证书？

Answer 1

与此同时，我找到了解决这个问题的办法：

如果我用OpenSSL3.0.2(ubuntu22.04)创建pkcs12容器，并将容器导入到我的iphone开关中，它就无法工作。

如果我用OpenSSL1.1.1.f(ubuntu20.04)创建pkcs12容器，它就能工作。

如果我用OpenSSL3.0.2创建一个pkcs12容器并尝试读取(openssl .)带有openssl1.1.1的容器将收到以下错误消息：

Enter Import Password:
MAC: sha1, Iteration 2048
MAC length: 20, salt length: 8
PKCS7 Encrypted data: pbeWithSHA1And40BitRC2-CBC, Iteration 2048
Error outputting keys and certificates
4047620DD67F0000:error:0308010C:digital envelope routines:inner_evp_generic_fetch:unsupported:../crypto/evp/evp_fetch.c:349:Global default library context, Algorithm (RC2-40-CBC : 0), Properties ()

OpenSSL3.0似乎使用另一种算法来构建容器，使用OpenSSL1.X.X的应用程序无法打开和处理这些文件。