MSIE 10 a správa starších síťových zařízení

Na jednu stranu to chápu, na druhou stranu to člověka strašně vytočí. O c o jde? Po několika měsících jsem potřeboval hrábnout do konfigurace Linksys WRP 400. Takže otevřu IE, zadám URL, klepnu na Enter … a koukám, co se to děje. Pak si říkám, aha, zase další zlepšovák Windows 8, tak to holt zkusíme z Windows 7. No jo, tam to taky nejede. Společným jmenovatelem je MSIE 10.

CertificateError_NavigationBlockedTotal

Nejak tady postrádám možnost, jak pokračovat dál. Tak jsem začal hledat – zde a zde. Důvodem je to, že Microsoft v IE začal ignorovat certifikáty vytvořené privátním klíčem menším než 1024 bitů.

Certificate

S tím bych i docela souhlasil. Neuvěřitelně mne ale naštvalo, že v tom stupidním Linksys (Cisco Small Business) zařízení není možnost certifikát nějakým způsobem nahradit. Takže mám tři možnosti:

  • přestat používat HTTPS a použít jen HTTP (přes Internet neakceptovatelné)
  • použít (jsem zvědav, jak dlouho) jiný prohlížeč (FF, Chrome)
  • upravit konfiguraci Windows/IE a ponížit nejmenší akceptovatelnou délku klíče

Nejmenší akceptovatelná délka klíče v IE 10 je uložena v HLKM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config. Zde je REG_DWORD položka minRSAPubKeyBitLength. Pokud neexistuje, je tato hodnota implicitně 1024 (bitů). Pokud chci (třeba dočasně) spravovat starší síťové zařízení, je potřeba tuto hodnotu ponížit jedním z níže uvedených postupů.

  • v registrech vytvořit REG_DWORD klíč a vložit decimální hodnotu 512
  • v příkazovém řádku spustit
    certutil -setreg chain\minRSAPubKeyBitLength 512
  • v příkazovém řádku spustit
    reg add HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config /v minRSAPubKeyBitLength /t reg_dword /d 512

Při dalším pokusu o přístup se v IE objeví link Continue to this website (not recommended).

CertError_NavigationBlocked

Pokud bych chtěl později vrátit vše do původního stavu, spustím:

reg delete HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config /v minRSAPubKeyBitLength /f

Zobrazit komentáře