Смена SSL-сертификата для Unifi

Смена SSL-сертификата для Unifi, UniFi Network

i3laze

Guest

12.09.2011 09:39:00

Просто для информации: где "keystore" — это \Unifi_folder\data\keystore, а "cert.cer" — это машинный сертификат, экспортированный из Certificates MMC в формате "DER encoded x.509". И НЕТ — это не работает 😀 Может, кто-то более опытный с TomCat справится. Я даже не уверен, что UniFi уже считается корпоративным решением. По сравнению с AirControl: пока нет ни SSL, ни службы NT.

eastken Guest	#2 20.07.2015 02:56:00 Привет, greggmh! Большое спасибо! Информация очень полезная.

greggmh123

Guest

25.12.2013 04:23:00

alexob и другие, (ДОПОЛНЕНО более подробной информацией) Если вы столкнулись с этой проблемой и используете Windows 7/8, то причина, по которой в сертификате одна или несколько строк выступают дальше остальных, в том, что блокнот Windows 7/8 добавляет случайные управляющие символы. Скачайте бесплатный Notepad++ или другой чисто текстовый редактор, откройте сертификат и сохраните его — проблема решится. Блокнот XP такие файлы не портит. Старый DOS-редактор Edit тоже поможет очистить файлы сертификатов.

Я столкнулся с этой проблемой, когда пытался импортировать SSL-сертификаты в свой файрвол. Иногда они выглядели нормально, то есть все строки выравнены, но в случайных местах в конце строк появлялись символы «коробочки», которые не были видны в блокноте.

Если открыть файл в блокноте Windows 7, управляющие символы изначально не видны, но зато в блокноте XP они отображаются в виде маленьких квадратов в конце строк. В блокноте Windows 7 можно понять, что что-то не так, если строки не одинаковой длины, но при этом в конце нет этих квадратов. Неравные длины строк — сигнал, что, скорее всего, есть управляющие символы, и это подтверждается открытием файла в блокноте XP, где квадраты будут видны.

Gregg Hill

jtenniswood

Guest

23.12.2013 13:36:00

Почему это до сих пор не исправлено?! Просто сумасшествие — почти работает, но форматировка вся нарушена. Да, это легко починить, если, во-первых, ты понимаешь, почему не работает, и, во-вторых, не пользуешься Windows, а так — полный провал. Пожалуйста, просто **чёрт возьми** исправьте эту ошибку уже!

alexob Guest	#5 20.11.2013 07:06:00 Это верно. Кажется, это происходит только в бета-версии UniFi.

GaryGapinski Guest	#6 20.11.2013 06:34:00 что означает, что ace.jar генерирует неправильно сформированные CSR.

alexob Guest	#7 20.11.2013 01:40:00 Мне пришлось подправить форматирование, чтобы строки не превышали 64 символа и так далее. Вот unix-команда, которая помогла правильно оформить сертификат: fold -w 64 csr.pem

GaryGapinski

Guest

19.11.2013 11:44:00

Это должно выглядеть (в формате PEM) так:

-----BEGIN CERTIFICATE REQUEST-----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-----END CERTIFICATE REQUEST-----

Где строки с началом и концом идут на отдельных строках. Чтобы проверить правильный формат csr, используйте команду openssl req -noout -text -in filename.csr.

alexob Guest	#9 19.11.2013 11:22:00 Спасибо, GaryGapinski. Есть ли простой способ для исправления будущих CSR?

GaryGapinski

Guest

#10

19.11.2013 11:19:00

Этот CSR выглядит вполне нормально (после приведения PEM-формата в порядок):

Запрос сертификата:
Данные:
Версия: 0 (0x0)
Субъект: C=US, ST=CA, L=City, O=Company, OU=test.domain.com, CN=test.domain.com
Информация о публичном ключе субъекта:
Алгоритм публичного ключа: rsaEncryption
Публичный ключ: (2048 бит)
Модуль:
00:e0:94:7b:7b:d3:19:c1:f5:4f:3a:95:d0:b8:4c:
ed:9f:b3:20:a8:00:90:98:da:9a:43:89:14:ce:51:
90:cb:f0:26:c5:3b:19:fa:b9:a4:23:07:08:77:07:
61:86:d6:84:52:d5:03:ac:94:de:52:9d:35:db:42:
8d:83:de:e2:62:52:8f:bc:2f:64:8c:25:81:5a:a1:
f9:18:63:8b:c0:68:9b:62:2e:e1:c3:6a:22:19:8b:
47:e6:33:8c:5a:76:0b:6d:ac:38:6f:c1:4c:eb:57:
dd:3a:e3:b9:cc:08:b3:8b:5b:6f:85:0a:a8:8d:b6:
58:bf:de:80:0a:d3:84:8b:27:98:c1:93:6b:3f:29:
f1:41:77:7f:ee:cf:92:88:d3:24:9e:3a:5b:78:02:
16:57:5d:c0:03:4d:7e:3e:5c:ce:c0:28:1f:e9:88:
be:e5:4f:3d:47:de:ba:a2:79:18:e3:87:94:9c:8d:
d2:4f:f4:47:d3:ca:6b:21:91:e2:60:ad:5a:b5:00:
f8:7b:6d:ee:ac:f7:0e:69:ac:da:c3:66:36:12:13:
14:98:80:b6:88:c3:f6:f6:73:dc:07:19:75:57:4b:
21:14:e3:5e:d1:dc:73:d2:b6:ab:b0:bd:8a:b6:93:
82:f1:18:d8:a8:3a:bc:c5:ea:86:12:65:e5:c3:f2:
48:eb
Экспонента: 65537 (0x10001)
Атрибуты:
a0:00
Алгоритм подписи: sha1WithRSAEncryption
43:66:c8:cb:1d:0e:c8:b6:b5:52:1c:08:b2:ff:79:82:2a:4f:
90:6e:61:c0:c1:f5:c8:0a:d0:d2:a2:ba:2d:1a:6d:7a:5c:04:
60:e1:cd:9e:1d:e5:f8:34:ba:29:78:3d:9f:e9:18:f5:49:36:
b8:04:aa:7c:ef:04:75:9e:f2:09:07:11:89:46:27:7b:7b:50:
81:04:fa:17:67:bb:64:a8:db:6f:86:aa:05:78:9c:02:3a:57:
b5:b4:ad:7d:95:c8:19:7a:cc:10:84:61:e0:6c:17:cd:d3:b1:
b8:5f:e3:74:a4:ab:5d:90:f8:98:17:c3:1a:74:0c:06:01:74:
40:1c:a1:cf:69:26:5a:08:58:6c:40:c1:fb:e1:47:93:4d:b8:
3b:71:0f:a7:3e:30:f5:7c:ca:66:f9:27:50:c9:ad:89:fa:56:
84:b8:a3:f8:22:5c:8d:eb:e6:d8:73:3f:f7:cc:de:3c:72:e9:
82:37:d1:af:74:dd:ee:36:a7:ed:eb:dd:b5:7d:e5:43:12:f4:
22:5e:68:44:e2:f3:3b:d7:13:f4:c7:bd:e8:8f:e8:1c:7c:d4:
a0:b3:ce:97:9f:b9:27:29:55:99:0f:a1:b9:e3:86:b4:6f:4d:
af:3a:9b:cf:45:90:ce:09:a5:1d:37:a7:23:a1:a6:d0:4f:91:
fb:87:36:86

В общем, CSR выглядит аккуратно и корректно.

alexob Guest	#11 19.11.2013 10:15:00 Привет, ребята! Кто-нибудь сталкивался с тем, что CSR, сгенерированные с помощью бета-версии UniFi, оказываются повреждёнными? Я приложил CSR, который был создан с помощью ранее обсуждаемой команды. На рабочем экземпляре UniFi строка -----END CERTIFICATE REQUEST----- идёт отдельно на своей строке. java -jar lib/ace.jar new_cert <hostname> <company> <city> <state> <country> -----BEGIN CERTIFICATE REQUEST----- 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 -----END CERTIFICATE REQUEST-----

Читают тему (гостей: 1)