Безопасное подключение в локальной сети

[alex]

Собственно, у кого есть опыт такого - как заводили?
Имеется сервер (2.0) и клиент актуальных версий на одной и той же машине. Задача — поднять безопасное подключение (на порту 7033).
Сертификат и ключ сгенерировал, положил в BimoidSrv/ObimpSsl/Certif и прописал в certif.ini, включил безопасное подключение на сервере.
Службу сервера перезапустил — коннекта нет.
Сильно мешает то, что ни на клиенте, ни на сервере нет подробных логов подключения — неочевидно, что именно идет не так. Понятно, что проблема, видимо, в самопальном сертификате.

[inf]

Также надо открыть порт 7033 для входящих подключений, тут вот есть про это.
Когда клиенту ничего не мешает подключиться к указанному порту, то все ошибки с сертификатом отображаются в UI на этапе подключения.

[alex]

Поднялось. По итогу:

• Common Name (CN) в сертификате должен соответствовать имени компьютера, что понятно;
• Сертификат должен быть не самоподписанным, то есть корневой сертификат должен быть отдельный;
• Мало добавить корневой сертификат в доверенные в системе, его нужно прописать в More/Ssl/TrustedCA/TrustedCA.pem на клиенте, чтобы он уж совсем не ругался.

И всё работает as expected.

[alex]

Интересный момент, сервер использует протокол TLSv1, который уже устарел и не поддерживается платформами, также как и TLSv1.1.
Сегодня актуален хотя бы TLSv1.2.

[inf]

tls 1.1 объявлен устаревшим в прошлом году, а дистрибутив сервера будет сильно постарше. Очевидно, что сам он не обновится со временем)

[alex]

Ну формально TLS 1 и 1.1 объявлены устаревшими в 2020 году, да. Тем не менее, TLS 1.2 существует с 2008 года.
Фактически же, например, в Java платформе они объявлены устаревшими в 2014 году, а с 2018 отключены по умолчанию. Собственно, аналогичная ситуация и в Android. Потому пока гуглю и размышляю, как поизящней обойти ограничения или уже отказаться от безопасного подключения для текущей версии сервера)