Я не понимаю, почему установка SSL на этой системе такая сложная. Я посмотрел все видео и прочитал все инструкции, которые смог найти, и у меня просто не получается. Я открыл обращение в поддержку, а мне дали инструкции, которые вообще не касаются cloud key. Я просто в ужасе от того, насколько это всё запутано.

Я выложил пример того, как должны быть написаны инструкции, и выбрал очень короткий, но полный образец. Многие из инструкций, которые публикуются на этих форумах, — классические примеры того, как не стоит объяснять, как что-то делать. Ты совершенно не понял, что был приведён именно пример. Исходя из твоих прошлых действий, меня это не удивляет.

Все еще слишком сложно для таких простых смертных, как мы, пользователи Windows. Я серьезно — заплачу тебе, чтобы ты установил это за меня.

После того как я поковырялся со своей парой cloudkey, пытаясь заставить это работать, я придумал довольно простой скрипт, для запуска которого нужно минимально вмешательство. У меня есть внутренний CA, которым я подписываю свои сертификаты, поэтому могу спокойно использовать короткие имена и IP-адреса в поле Subject Alternate Name, но любой CA, которому доверяет ваш компьютер, тоже подойдет для этого скрипта. Скрипт достаточно самодокументирован, но вкратце:

Скопируйте скрипт на cloudkey и сделайте его исполняемым.  
Создайте CSR (много инструментов это умеют) и подпишите его.  
Скопируйте подписанный сертификат и приватный ключ в формате PEM (Base64) в директорию /root на cloudkey (эта папка по умолчанию для входа под root). Убедитесь, что имена файлов правильные (cloudkey.crt, cloudkey.key).  
Запустите скрипт — он позаботится обо всем остальном, включая создание резервной копии старых ключей на всякий случай.

Я пытался прикрепить файл, но форум капризничает и не дает прикрепить скрипт...

Надеюсь, это поможет...

#!/usr/bin/env bash

###################################################  
# Инструкция по замене самоподписанного сертификата #  
###################################################  
# 1. Сохраните этот скрипт на ваш cloudkey  
# 2. Сделайте скрипт исполняемым:  
#    chmod u+x cloudkeycert.sh  
# 3. Создайте запрос на подпись сертификата (CSR) и приватный ключ,  
#    включая поле Subject Alternate Name (SAN).  
#    Если SAN отсутствует, Chrome будет ругаться.  
#    Есть много инструментов для создания CSR и ключа:  
#    * - XCA (https://sourceforge.net/projects/xca/)  
#    * - Digicert util (https://www.digicert.com/util/)  
#    * - и другие  
# 4. Подпишите CSR.  
# 5. Убедитесь, что подписанный сертификат и ключ в формате PEM (Base64)  
# 6. В домашней директории root (/root) скопируйте подписанные файлы с именами:  
#    * - Сертификат — cloudkey.crt  
#    * - Приватный ключ — cloudkey.key  
# 7. Запустите скрипт. Он сделает резервную копию текущих файлов на всякий случай,  
#    скопирует новые на место и обновит keystore.  
#    Также он остановит/запустит веб-сервер (NGINX) и сервисы Unifi.  
#    Возможно, придется закрыть браузер, так как он не сразу поймет, что сертификат изменился...

# Опции OpenSSL и Keytool взяты из скрипта:  
# /usr/share/initramfs-tools/scripts/ubnt-bottom/configure-sslcert  
# Единственная добавленная опция в keytool — -noprompt, чтобы сразу перезаписать alias unifi без подтверждения пользователя

HOSTCERTDIR=/etc/ssl/private  
HOSTCERTTAR=cert.tar  
HOSTCERTS="cloudkey.crt cloudkey.key unifi.keystore.jks"  
BACKUPDIR="${HOSTCERTDIR}/`/bin/date +%Y%m%d`"  
BACKUPFILE="`/bin/date +%Y%m%d%H%M`-cert.tar"

echo "Останавливаем сервис unifi"  
/usr/sbin/service unifi stop

echo "Останавливаем веб-сервер NGINX"  
/usr/sbin/service nginx stop

cd ${HOSTCERTDIR}

if [ ! -d ${BACKUPDIR} ]; then
       echo "Создаем папку ${BACKUPDIR}"  
       mkdir ${BACKUPDIR}  
fi

if [ ! -f ${HOSTCERTDIR}/${BACKUPFILE} ]; then
       echo "Создаем архив ${BACKUPDIR}/${BACKUPFILE}"  
       /bin/tar -cf ${BACKUPDIR}/${BACKUPFILE} ${HOSTCERTS}  
fi

/bin/cp /root/cloudkey.key ${HOSTCERTDIR}/  
/bin/cp /root/cloudkey.crt ${HOSTCERTDIR}/

/usr/bin/openssl pkcs12 -export -in ${HOSTCERTDIR}/cloudkey.crt -inkey ${HOSTCERTDIR}/cloudkey.key \  
       -out /tmp/keystore.p12 -name unifi -password pass:'' && \  
/usr/bin/keytool -importkeystore -deststorepass aircontrolenterprise \  
       -destkeypass aircontrolenterprise -destkeystore ${HOSTCERTDIR}/unifi.keystore.jks \  
       -srckeystore /tmp/keystore.p12 -srcstoretype PKCS12 -srcstorepass '' -alias unifi -noprompt

cd ${HOSTCERTDIR}  
/bin/tar -cf ${HOSTCERTTAR} ${HOSTCERTS}

echo "Запускаем веб-сервер NGINX"  
/usr/sbin/service nginx start

echo "Запускаем сервис unifi"  
/usr/sbin/service unifi start

echo "Возможно, придется перезапустить браузер, чтобы он заметил обновленный сертификат"

@UBNT-KM

- Твои инструкции отлично сработали, спасибо! У меня тоже была проблема: мой SSL-сертификат сбрасывался на стандартный каждый раз после перезагрузки или обновления Cloudkey, но теперь всё сохраняется. Ещё раз спасибо!

Окей, я понял свою ошибку — пропустил один файл, загрузил его после первой перезагрузки. Однако *и это самое важное* — если не загрузить cert.tar, unifi.keystore.jks, cloudkey.key и cloudkey.crt одним заходом, а потом перезагрузить, то CK «починит» старые файлы и перезапишет их. Ошибка была из-за несовпадающих файлов. Теперь всё работает отлично!

Вот пример конфигурации для публикации ключа с помощью Puppet. Класс «ssl::cert» — это наш собственный класс, который, по сути, копирует сертификат с Puppet fileserver в /opt/ssl/.

class { 'ssl::cert':
 certificates => [ 'your.unifi.fqdn' ],
} ->
exec { 'copy-unifi-key':
 command => '/bin/cp /opt/ssl/your.unifi.fqdn/your.unifi.fqdn.key /etc/ssl/private/cloudkey.key',
 unless  => '/usr/bin/diff /opt/ssl/your.unifi.fqdn/your.unifi.fqdn.key /etc/ssl/private/cloudkey.key',
} ->
exec { 'copy-unifi-crt':
 command => '/bin/cp /opt/ssl/your.unifi.fqdn/your.unifi.fqdn.crt-bundle /etc/ssl/private/cloudkey.crt',
 unless  => '/usr/bin/diff /opt/ssl/your.unifi.fqdn/your.unifi.fqdn.crt-bundle /etc/ssl/private/cloudkey.crt',
} ->
exec { 'create-keystore':
 command => '/usr/bin/openssl pkcs12 -export -inkey /opt/ssl/your.unifi.fqdn/your.unifi.fqdn.key -in /opt/ssl/your.unifi.fqdn/your.unifi.fqdn.crt-bundle -out /tmp/unifi.keystore -name ubnt -password pass:temppass',
 onlyif  => '/usr/bin/test /opt/ssl/your.unifi.fqdn/your.unifi.fqdn.crt-bundle -nt /tmp/unifi.keystore',
 notify  => Exec['import-keystore'],
}

exec { 'import-keystore':
 command     => '/usr/bin/keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore /usr/lib/unifi/data/keystore -srckeystore /tmp/unifi.keystore -srcstoretype PKCS12 -srcstorepass temppass -alias ubnt -noprompt',
 refreshonly => true,
 notify      => [ Service['nginx'], Service['unifi'] ],
}

service { 'unifi': }
service { 'nginx': }

Я понимаю, что это не позволяет тебе «сделать всё самому», но для меня это было огромной помощью и бесплатно, а мне надо лишь, чтобы браузер не ругался на SSL, мне плевать на страховку и прочее... https://community.spiceworks.com/how_to/128281-use-lets-encrypt-ssl-certs-with-unifi-cloud-key Потрясающе!

Это^^ Я большой фанат Ubiquity. Но они действительно могли бы сделать меня счастливее, если бы меньше зависели от сообщества и добавили пару базовых функций в продукт. Например, чтобы можно было легко заменить сертификат.