Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Не могу получить доступ к Linux UniFi Controller после импорта SSL-сертификата, UniFi Network
 
#1
23.06.2016 15:00:00
У меня уже есть действующий SSL-сертификат для веб-сервера, на котором работает мой хостинг UniFi Controller. Решил импортировать его для использования с контроллером, чтобы не каждый раз вручную разрешать Chrome переходить на небезопасный сайт. Сделал вот что из командной строки:

[root@hostname UniFi]# sudo java -jar lib/ace.jar import_cert /etc/pki/tls/certs/hostname.example.com.crt /etc/pki/tls/certs/startssl-ca-bundle.pem
parse startssl-ca-bundle.pem (PEM, 18 сертификатов):  
    найден [CN=StartCom Certification Authority]
    найден [CN=StartCom Certification Authority G2]
    найден [CN=StartCom Certification Authority]
    найден [CN=StartCom Certification Authority]
    найден [CN=StartCom Certification Authority]
    найден [CN=StartCom Class 1 Primary Intermediate Client CA]
    найден [CN=StartCom Class 1 Primary Intermediate Domain Controller CA]
    найден [CN=StartCom Class 1 Intermediate CA - Mobile Experts sp. z o.o.]
    найден [CN=StartCom Class 1 Intermediate CA - The City of Osmio]
    найден [CN=StartCom Class 1 Primary Intermediate Server CA]
    найден [CN=StartCom Class 2 Primary Intermediate Client CA]
    найден [CN=StartCom Class 2 Primary Intermediate Object CA]
    найден [CN=StartCom Class 2 Intermediate CA - JanRain Inc.]
    найден [CN=StartCom Class 2 Primary Intermediate Server CA]
    найден [CN=StartCom Class 3 Primary Intermediate Client CA]
    найден [CN=StartCom Class 3 Primary Intermediate Object CA]
    найден [CN=StartCom Class 3 Primary Intermediate Server CA]
    найден [CN=StartCom Extended Validation Server CA]
parse hostname.server.com.crt (PEM, 1 сертификат): CN=hostname.example.com  
Импорт подписанного сертификата [hostname.example.com]...
выдан [CN=StartCom Class 1 Primary Intermediate Server CA]...
выдан [CN=StartCom Certification Authority]...
выдан [CN=StartCom Certification Authority G2]
Сертификаты успешно импортированы. Перезапустите UniFi Controller.

Перезапустил сервис контроллера:

[root@hostname UniFi]# service UniFi restart
Остановка UniFi Controller:                                 [ OK ]
Запуск UniFi Controller:                                   [ OK ]
[root@hostname UniFi]# service UniFi status
UniFi Controller работает под процессом 28451  

Однако, когда пытаюсь зайти на https://hostame.example.com:8443, Chrome выдает:

Этот сайт не может обеспечить безопасное соединение  
hostname.example.com прислал неверный ответ.  
Попробуйте: обновить страницу  
Подробнее об этой проблеме. ERR_SSL_PROTOCOL_ERROR

Могу переустановить контроллер, чтобы вернуть работоспособность, но лучше разобраться, как правильно импортировать сертификат или что еще может быть не так. Есть идеи?
 
 
 
#2
16.03.2018 15:20:00
Та же проблема здесь, использую доверенный сертификат, который отлично работает на других сайтах с того же сервера. Кстати, это под Windows.
 
 
 
#3
14.03.2018 00:36:00
Есть какие-то новости по этому поводу?
 
 
 
#4
08.08.2018 16:07:00
Я на какое-то время забил на эту проблему, но сегодня решил вернуться к ней. Обновил UniFi Controller до последней версии 5.8.24, прошёл процесс создания запроса на подпись, получил сертификат и импортировал его заново. На этот раз импортировал другой пакет корневых сертификатов вместе с моим личным сертификатом — и всё сработало! Я наткнулся на этот пакет корневых сертификатов случайно, когда настраивал SSL-сертификат на Synology NAS. На странице поддержки Namecheap по поводу SSL для Synology есть ссылка на пакет корневых сертификатов Comodo. В этот раз в UniFi я импортировал всего два .crt файла, тогда как раньше загружал несколько отдельных файлов от Comodo. Для сертификатов не от Comodo, наверное, тоже есть похожий пакет корневых сертификатов.
 
 
 
#5
20.06.2018 01:46:00
@EricE

В попытке сократить количество ругани и вмятин я сегодня написал это: http://www.stevejenkins.com/blog/2016/06/use-existing-ssl-certificate-linux-unifi-controller/ 😀 Для меня это определённо был правильный путь. Относительно просто в использовании, и сразу сработало с первого раза. Так как я генерировал самоподписанные сертификаты и у меня не было цепочки сертификатов, я просто использовал мой файл сертификата как цепочку, и всё сработало безупречно.
 
 
 
#6
30.03.2018 01:11:00
Вилли из H5 Technology помог мне с моей проблемой. Напишите ему на почту. https://h5technology.com/
 
 
 
#7
30.03.2018 00:05:00
Да, я прошёл весь процесс по этой инструкции https://help.ubnt.com/hc/en-us/articles/212500127-UniFi-SSL-Certificate-Error — именно так я в прошлом году ставил оригинальный сертификат.
 
 
 
#8
30.03.2018 00:02:00
Ты получил новые ключи с сервера и вставил их в свою SSL-аутентификацию при работе с SSL?
 
 
 
#9
29.03.2018 22:23:00
У меня похожая проблема, к сожалению. Сервер у меня на macOS, и уже год стоит сертификат Comodo SSL. Пришло время продлевать — прошёл всю процедуру, вроде импорт прошёл успешно, но в итоге сайт не открывается. Я даже удалял файл keystore, заново создавал запрос, получал новый сертификат, импортировал (с “успехом”), но сайт всё равно не загружается. Если удалить файл keystore и перезапустить сервер, сайт грузится с самоподписанным сертификатом. Есть идеи?  
EDIT: Восстановил старый файл keystore из резервной копии — работает, но сертификат скоро истечёт, так что решение всё равно нужно.
 
 
 
#10
19.03.2018 06:40:00
Мне немного помогли с этим из-за нехватки времени и потому что я просто не мог разобраться. Но Вилли из H5 Technology выручил меня. В итоге я просто удалил все, что связано с SSL, и начал всё заново с нуля. Для меня это сработало, но у вас может быть по-другому. Спасибо, Вилли, за помощь!
 
 
 
#11
10.03.2018 05:18:00
Ладно, знаю, что это старое сообщение, но оно всё ещё по теме моей проблемы. Я получил новый сертификат на этот год, так как старый скоро истекал. Значит, я положил присланные мне сертификаты в папку и запустил команду:  
java -jar lib/ace.jar import_cert server.crt intermediate.crt RapidSSL.crt  
После этого выдало:  
Certificates successfully imported. Please restart the UniFi Controller.  
Я перезапустил сервис командой:  
service unifi restart  
И... получил ошибку:  
Этот сайт не может обеспечить защищённое соединение  
unifi.mysecretwebsite.com прислал неверный ответ.  
Попробуйте запустить диагностику сети Windows.  
ERR_SSL_PROTOCOL_ERROR  
Вот что я делаю не так? Приходится заходить, удалять KeyStore, перезапускать unifi, и тогда он снова запускается с самоподписанным сертификатом.
 
 
 
#12
27.02.2018 05:18:00
Спасибо за информацию. Всем, у кого все еще возникают проблемы после отката файла keystore, убедитесь, что вы сменили владельца файла обратно на пользователя и группу unifi. Как только я это сделал (и перезапустил сервис unifi), я снова смог подключиться к контроллеру.
 
 
 
Страницы: 1
Читают тему (гостей: 1)