Установка SSL-сертификата контроллера Windows

Установка SSL-сертификата контроллера Windows, UniFi Network

whowe82 Guest	#1 28.09.2017 02:01:00 https://www.youtube.com/watch?v=KVv-F9aYMiU Дайте знать, если будут вопросы!

rootadminsa Guest	#2 22.07.2019 14:44:00 ^ При импорте в существующий хранилище ключей нужно переименовать и ЗАМЕНИТЬ существующий псевдоним «unifi» на «unifi».

MHolleyHugo Guest	#3 10.06.2021 22:51:00 Нашёл неплохое решение, как использовать Posh-ACME через PowerShell и запросить сертификат у Let's Encrypt.

Thomas C Guest	#4 13.10.2020 13:37:00 @VertuM Это сработало безупречно. Спасибо.

VertuM

Guest

24.09.2020 05:23:00

Основываясь на описании Martius, мне удалось поднять свой SSL-сертификат. Поскольку сертификат от Letsencrypt, я не хотел регулярно обновлять его вручную, поэтому попробовал разобраться, как автоматизировать этот процесс. Мне удалось создать небольшой скрипт на PowerShell, который теперь делает это автоматически. Возможно, кому-то ещё это пригодится.

# Java keytool для работы с keystore
$Command = "C:\Program Files\Java\jre1.8.0_261\bin\keytool.exe"
# Настройте параметры под свои нужды
$Params = "-importkeystore -srckeystore ""C:\<PATH>\<file>.pfx"" -srcstoretype pkcs12 -srcstorepass ""secretpassword"" -destkeystore ""C:\<PATH>\Ubiquiti UniFi\data\newstore"" -deststoretype JKS -deststorepass ""aircontrolenterprise"" -destkeypass ""aircontrolenterprise"""
$Prms = $Params.Split(" ")
& "$Command" $Prms

# Сначала создаём новый keystore с названием newstore, который потом копируем поверх существующего
Copy-Item "C:\Users\User\Ubiquiti UniFi\data\newstore" "C:\Users\User\Ubiquiti UniFi\data\keystore" -Recurse -force
# Удаляем newstore, чтобы при импорте не запрашивалось подтверждение замены ключа
Remove-Item "C:\Users\User\Ubiquiti UniFi\data\newstore"

# Возможно, придётся перезагрузить контроллер, я ещё не проверял.
Я запускаю это теперь ежедневно через планировщик задач.

Siemnifi2

Guest

03.04.2020 19:14:00

@martius, ты дал мне отличные советы! В keystore explorer мне пришлось удалить оригинальный сертификат unifi. Затем сохранить как новый файл, потому что перезаписать не получилось. Потом переименовал оригинал, добавив .old, а новый – в keystore. Перезапустил службу, и мой уже существующий SSL заработал.

swatpup102 Guest	#7 26.03.2020 23:11:00 Это отлично сработало, когда ничего другого не помогало, используя внутренний сертификат домена с самоподписью. Спасибо за информацию!

1Poochh

Guest

09.03.2019 04:12:00

Большое спасибо. У меня это сработало. Раньше браузер всё равно показывал «небезопасно», но когда я проверял сертификат в адресной строке, он был валидным. Как только я добавил эту строку в файл system.properties и перезагрузился, всё заработало без проблем. Спасибо за информацию, сохраню это на будущее!

dreniarb

Guest

05.03.2019 15:59:00

Да, я тоже пробовал создать совершенно новый keystore-файл. Но всё равно используется сертификат Unifi. Это для меня вообще не имеет смысла.
Я пользуюсь последней версией контроллера — только что сегодня утром скачал и установил. На самом деле именно это и подтолкнуло меня попробовать установить наш wildcard-сертификат от Comodo.
В последние несколько недель Chrome вообще не даёт подключиться к странице unifi с самоподписанным сертификатом, даже не позволяя проигнорировать ошибки и подключиться вручную. Internet Explorer и Firefox всё ещё дают подключиться, но Chrome — мой основной браузер.

Поэтому я подумал, что обновление контроллера это исправит, но не помогло. Тогда я решил, что пора переступить через себя и поставить наш сертификат Comodo. Но и это не сработало.

Возможно, попробую установить всё на Linux и воспользоваться этими инструкциями. Попробовать стоит, вреда не будет. Ещё и лицензия Windows освободится. 😀

whowe82 Guest	#10 05.03.2019 14:43:00 @martius Пробовал оба варианта.

martius

Guest

#11

05.03.2019 14:34:00

Вы пробовали использовать существующий файл хранилища ключей или создавать новый? Возможно, стоит создать новый файл хранилища ключей и импортировать туда сертификат. Также заметил, что объединённый сертификат не нужен в той версии, которую я использую.

whowe82

Guest

#12

05.03.2019 14:14:00

@dreniarb

Ты используешь версию 5.10.12 или новее? Если да, у меня на нескольких установках выскакивает такая же проблема, но UBNT её воспроизвести не может. Приходится вручную копаться с хранилищами ключей через keystore explorer. Сам приватный ключ в порядке, а вот сертификат почему-то не устанавливается.

dreniarb

Guest

#13

05.03.2019 12:59:00

Я выполнил все шаги и без проблем импортировал свой универсальный сертификат, но когда захожу на сайт unifi, он всё равно использует самоподписанный сертификат unifi. Я удалил этот сертификат из хранилища ключей, но он всё равно отображается в браузере. Перезагружал сервер, но самоподписанный сертификат продолжает использоваться, хотя я несколько раз проверял — его больше нет в файле хранилища ключей. Есть идеи, в чём может быть проблема?

martius

Guest

#14

26.02.2019 07:57:00

Всем привет! Недавно столкнулся с проблемой очень скудной документации по установке wildcard-сертификата на UniFi Controller, который работает на Windows. Ниже приведён набор шагов, которые помогли мне настроить всё и представляющий собой сборник из множества постов этого сообщества.

Среда UniFi, в которой это используется:
Windows Server 2016 Datacenter
UniFi Controller для Windows 5.10.17

ПРИМЕЧАНИЕ 1. У меня уже был wildcard-сертификат, поэтому процесс его получения я описывать не буду.
ПРИМЕЧАНИЕ 2. Перед продолжением обязательно сделайте резервную копию вашего текущего keystore.

Скачайте Keystore Explorer отсюда → https://keystore-explorer.org/
Откройте существующий keystore (C:\<ПУТЬ_К_УСТАНОВКЕ>\Ubiquiti UniFi\data\keystore) с паролем «aircontrolenterprise».
Зайдите в Tools → Import Key Pair.
Выберите тип ключа PKCS #12.
Выберите экспортированный PFX-файл и введите пароль.
Когда будет запрошен пароль для key pair – введите «aircontrolenterprise».
Выберите Файл → Сохранить как.
Пароль для keystore установите снова «aircontrolenterprise» (я использовал именно этот пароль, так как с другим у меня происходил TIME OUT после перезапуска приложения или службы).
Сохраните файл под именем «keystore».
Установите атрибут «только для чтения» для файла keystore.
Перезапустите службу (если контроллер работает как служба) или приложение.

Готово!

Если по какой-то причине текущий keystore вызывает проблемы, можно создать новый, добавив в файл system.properties следующую строку и перезапустив службу:
app.keystore.pass=aircontrolenterprise (без кавычек)

При использовании Windows по умолчанию UniFi приложение не устанавливается как служба. Если хотите установить службу, сделайте следующее:
Добавьте путь к установленной Java-версии в системный PATH (например, C:\Program Files (x86)\Java\jre1.8.0_201\bin и/или C:\Program Files\Java\jre1.8.0_201\bin). Видео по ссылке → https://www.youtube.com/watch?v=Av65d0PnpIg
Откройте командную строку от имени администратора и выполните команду:
java -jar lib/ace.jar installsvc

Надеюсь, это поможет!

capc0m

Guest

#15

12.01.2018 16:21:00

Я следовал его инструкциям по импорту, но у меня всё равно были проблемы с работой сертификата с подстановочным знаком. Есть ещё одна тема с подробностями о использовании wildcard-сертификата: forum.ubnt.com/showthread.php?t=46039&highlight=wildcard+cert. И именно это у меня сработало.

mateo22it Guest	#16 23.11.2017 22:05:00 Привет, Willie, не мог бы ты прислать «comodofiles», которые упоминались в видео? Заранее спасибо!

Читают тему (гостей: 1)