2023年家裡購入新的事務機 Fujifilm Apeos C325z,這台事務機同樣具備網頁式的管理介面,而內建的憑證則是機器內建的自簽憑證,所以瀏覽器連線管理時一定會出現不安全的連線,而這對我來說就會有點強迫症就是不要再出現這類訊息,所以從很早以前就透過 LetsEncrypt 申請了 wildcard 的憑證,把這張憑證用在家裡的各個有網頁管理的頁面上,例如:NAS/網管型交換器/PVE虛擬主機等,當然不免俗的也想將這張憑證安裝在 C325z 上。
(照片取自Fujifilm官網)
C325z 原本的管理介面就有支援匯入 SSL 憑證的功能,做了一些功課後發現原本從 LetsEncrypt 下載預設都是 PEM 格式的憑證,但 C325z 只支援 PKCS#12 格式(也就是公鑰/私鑰彙整於同一個檔案中),於是嘗試透過 OpenSSL 套件做轉換。轉換的方式如下:
openssl pkcs12 -export -out output.pfx -inkey privkey.pem -in cert.pem
但是產生出來的 .pfx 憑證檔從管理介面上傳(系統–>安全性–>安全性憑證–>裝置憑證–>匯入)時都會出現「匯入失敗」的錯誤訊息。嘗試了各種方式都還是出現一樣的問題,於是只好暫時放下這個小問題,擱著繼續出現連線不安全的警示訊息。
直到最近又心血來潮想再試一次,但這次搭配 Gemini 協助,Gemini 提示的常見問題排查中,有一項提醒讓我覺得可以一試,也就是彙整為 PKCS#12 憑證時,需將所有中繼憑證全部一起匯入 PKCS#12 憑證中,於是就開始實驗看看,沒想到一試成功,所以記錄下來。
- 將所有中繼憑證整合於同一個PEM憑證中
這步驟其實就是把 LetsEncrypt 下載到的 chain.pem 及 root.pem 檔案內容合併,所以只要能合併,用 notepad 編輯也行。下面是簡單使用 shell script 指令進行合併:
cat chain.pem root.pem > all.pem
- 重新產生 PKCS#12 憑證檔案
接著就可以來產生 PKCS#12 整包含中繼憑證的憑證檔了。指令如下:
openssl pkcs12 -export -out broso.pfx -inkey privkey.pem -in cert.pem -certfile all.pem
與一兩年前的方式做法相同,唯一調整的部分就是增加 -certfile 參數,然後把包含完整中繼憑證鏈的 PEM 檔傳入。
- 重新將 PKCS#12 憑證檔匯入 C325z 管理介面
進入 系統–>安全性–>安全性憑證–>裝置憑證–>匯入
選擇剛剛產生的 PKCS#12 憑證檔,用 openssl 產生憑證時若有設定讀取密碼,則也一併將密碼輸入。
接著轉圈轉一陣子後,就顯示匯入成功了。
再回到安全性憑證,下方就會多出一張剛剛匯入的憑證。
- 將 SSL 啟用憑證更換為剛剛匯入的 LetsEncrypt 憑證
進入系統–>安全性–>SSL/TLS 設定,然後從裝置憑證-伺服器將新匯入的 PKCS#12 憑證進行啟用。
按下確定後,一樣會轉圈一陣子,然後事務機就會自動重新開機用來啟用新匯入的憑證,如此後續瀏覽器再連線就不會再出現不安全的連線警示訊息了。