Смена сертификата безопасности

[Leksey118]

Xiaomi Mi6 Android 8 MIUI Global 10.0.1.0

Приложение Keenetic Beta 4 (54)

После обновления устройств до 2.15.A.3.0-0 в почту посыпались уведомления о несанкционированном доступе (смена сертификата безопасности на устройстве "xxxxx"). Собственно, в самом приложении при выборе сети, Главная - Мои Keenetic - тапаем по роутеру, получаем сообщение: "Ключ для xxxxx сменился, если вы этого не делали, то подключаться небезопасно", и  два варианта на выбор: "Не подключаться" и "Подключится" (отступление, скорее всего должно быть "Подключиться"). Нажимаем на "Подключится" и получаем ошибку "Неверный логин или пароль устройства. Пожалуйста, удалите Кинетик и добавьте его заново".

Так и должно быть или что пошло не так у меня?

[Rootdiv]

37 минут назад, Leksey118 сказал:

Так и должно быть или что пошло не так у меня?

У меня такой проблемы нет, похоже у Вас что-то пошло не так.

[Leksey118]

@AlexSP Интересно или последовать совету по удалению и переподключению устройств? Пока попридержу до Вашего ответа.

Изменено 6 декабря, 2018 пользователем Leksey118
не актуально

[Leksey118]

На устройствах в логах однотипные события при попытке "Подключится":

Дек 5 22:33:27 ndm Core::Authenticator: no such user: "null".
Дек 5 22:33:27 coalagent Wrong login or password.

 

[Leksey118]

После очистки данных приложения и удаления/добавления устройств в приложении трафик не показывается, всё по нулям.

[Alex Sh.]

@Leksey118 Сертификат сменился при обновлении прошивки из-за смены формата хранения данных. В дальнейшем он будет меняться только при сбросе интернет-центра на заводские настройки.
Подключиться (я исправил перевод, кстати, спасибо) вам не удалось потому, что мы еще не реализовали запрос пароля и переавторизацию для этого случая. Когда сделам, достаточно будет ввести пароль без удаления/добавления устройства.

[Андрэ Палыч]

В 07.12.2018 в 14:26, Alex Sh. сказал:

В дальнейшем он будет меняться только при сбросе интернет-центра на заводские настройки.

А вообще все сбрасываются сертификаты?

У меня было настроено несколько http proxy, пришлось по некоторым причинам сбросить до завода с восстановлением конфига. Тут замечаю, что пропал доступ к узлам за роутером по именам. Все записи ip http proxy в конфиге на месте а ip http ssl acme list показывает только один сертификат keenetic.pro. Пытаюсь выпустить заново для нужного имени - Obtaining certificate for domain "a.xxx.ru" is started но в списке сертификатов он не появляется ни через 5 мин ни через полчаса а в логах нахожу Acme::Runner: response code 302 (Moved Temporarily). Acme::Runner: check failed for domain "a.xxx.ru". Ок, пытаюсь отозвать ip http ssl acme revoke a.xxx.ru - Acme::Client: "a.xxx.zzz" certificate not found. Попробовал удалить и создать запись proxy заново - тоже не помогло.

Че делать? Прошивка последняя.

[Alex Sh.]

14 часа назад, Андрэ Палыч сказал:

Че делать? Прошивка последняя.

По Acme я не берусь консультировать. Использую звонок другу! @ndm@Le ecureuil

[Андрэ Палыч]

@Le ecureuil нет решения?

 

[Le ecureuil]

Логи нужны когда  Obtaining certificate for domain "a.xxx.ru" is started , иначе непонятно ничего.

[Андрэ Палыч]

2 часа назад, Le ecureuil сказал:

Логи нужны когда  Obtaining certificate for domain "a.xxx.ru" is started , иначе непонятно ничего.

Так выше написал. Ну вот еще раз полнее, от и до, так сказать.

[I] Aug 15 11:01:17 ndm: Acme::Client: obtaining certificate for domain "a.xxx.ru" is started. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: loaded SSL certificate for "------.keenetic.io". 
[I] Aug 15 11:01:18 ndm: Http::Nginx: loaded SSL certificate for "-----.keenetic.pro". 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy b.xxx.ru to http://192.168.1.10:8084. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy c.xxx.ru to https://192.168.1.15:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy d.xxx.ru to https://192.168.1.118:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy e.xxx.ru to https://192.168.1.33:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy j.xxx.ru to https://192.168.1.11:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy h.xxx.ru to https://192.168.1.100:443. 
[I] Aug 15 11:01:18 ndm: Http::Nginx: activated proxy a.xxx.ru to https://192.168.1.140:443. 
[I] Aug 15 11:01:18 ndm: Core::Server: started Session /var/run/ndm.core.socket. 
[I] Aug 15 11:01:18 ndm: Core::Session: client disconnected. 
[I] Aug 15 11:01:18 ndm: Http::Manager: updated configuration. 
[I] Aug 15 11:01:18 ndm: Core::Server: started Session /var/run/ndm.core.socket. 
[I] Aug 15 11:01:19 ndm: Core::Session: client disconnected. 
[I] Aug 15 11:01:21 ndm: Acme::Runner: perform HTTP sanity checks for domain "a.xxx.ru". 
[I] Aug 15 11:01:21 ndm: Io::TcpSocket: connected to мой внешнийip:80. 
[E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily). 
[E] Aug 15 11:01:21 ndm: Acme::Runner: check failed for domain "a.xxx.ru". 
[I] Aug 15 11:01:21 ndm: Acme::Client: retry #4 after 90s. 

ну и повторяется несколько раз

[Андрэ Палыч]

поддержка помогла, удалил записи proxy (все, на всякий случай), выпустил сертификат, восстановил записи proxy

[Le ecureuil]

Да, это очень неочевидно было.

Вообще в ситуации когда нужен well-known адрес, как понять, терминировать его на роутере или пробрасывать дальше, на proxy? У меня нет однозначного решения, потому и посоветовали удалять перед получением.

Кстати через 90 дней это нужно будет сделать снова.

[Андрэ Палыч]

не вспомню, как это было изначально (до сброса), выпускал-ли я сертификат сначала а потом уже делал записи прокси но мне кажется что наоборот

а сделать что бы сам перевыпустился нельзя? "should-be-renewed: no" кагбэ намекает

[Le ecureuil]

20 часов назад, Андрэ Палыч сказал:

не вспомню, как это было изначально (до сброса), выпускал-ли я сертификат сначала а потом уже делал записи прокси но мне кажется что наоборот

а сделать что бы сам перевыпустился нельзя? "should-be-renewed: no" кагбэ намекает

Я описал выше: возникает неразрешимая ситуация с тем, как должен себя вести well-known: пробрасываться внутрь или терминироваться на роутере. Мы выбрали первый вариант, и если у вас acme-клиент находится на проксируемом сервере, то все будет ок. Второй будет многим неочевиден.

[Andrey Anikin]

Ошибка
[E] Aug 15 11:01:21 ndm: Acme::Runner: response code 302 (Moved Temporarily).
возникает из-за ip http ssl redirect, который действует и на проксируемые домены.
Если отключить редирект на SSL, то получение сертификата проходит успешно и без удаления записей из прокси.
"should-be-renewed: no" скорее всего говорит о том, что сертификат продлять ещё рано.
Сертификат можно продлить не ранее, чем за месяц до истечения срока действия.