Na jednu stranu to chápu, na druhou stranu to člověka strašně vytočí. O c o jde? Po několika měsících jsem potřeboval hrábnout do konfigurace Linksys WRP 400. Takže otevřu IE, zadám URL, klepnu na Enter … a koukám, co se to děje. Pak si říkám, aha, zase další zlepšovák Windows 8, tak to holt zkusíme z Windows 7. No jo, tam to taky nejede. Společným jmenovatelem je MSIE 10.
Nejak tady postrádám možnost, jak pokračovat dál. Tak jsem začal hledat – zde a zde. Důvodem je to, že Microsoft v IE začal ignorovat certifikáty vytvořené privátním klíčem menším než 1024 bitů.
S tím bych i docela souhlasil. Neuvěřitelně mne ale naštvalo, že v tom stupidním Linksys (Cisco Small Business) zařízení není možnost certifikát nějakým způsobem nahradit. Takže mám tři možnosti:
- přestat používat HTTPS a použít jen HTTP (přes Internet neakceptovatelné)
- použít (jsem zvědav, jak dlouho) jiný prohlížeč (FF, Chrome)
- upravit konfiguraci Windows/IE a ponížit nejmenší akceptovatelnou délku klíče
Nejmenší akceptovatelná délka klíče v IE 10 je uložena v HLKM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config. Zde je REG_DWORD položka minRSAPubKeyBitLength. Pokud neexistuje, je tato hodnota implicitně 1024 (bitů). Pokud chci (třeba dočasně) spravovat starší síťové zařízení, je potřeba tuto hodnotu ponížit jedním z níže uvedených postupů.
- v registrech vytvořit REG_DWORD klíč a vložit decimální hodnotu 512
- v příkazovém řádku spustit
certutil -setreg chain\minRSAPubKeyBitLength 512 - v příkazovém řádku spustit
reg add HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config /v minRSAPubKeyBitLength /t reg_dword /d 512
Při dalším pokusu o přístup se v IE objeví link Continue to this website (not recommended).
Pokud bych chtěl později vrátit vše do původního stavu, spustím:
reg delete HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDLLCreateCertificateChainEngine\Config /v minRSAPubKeyBitLength /f