Установка сертификата контроллера Unifi

Установка сертификата контроллера Unifi, UniFi Network

Jesper_nyit Guest	#1 17.04.2017 12:45:00 Кто-нибудь вообще когда-нибудь успешно реализовывал сертификат в контроллере UniFi? И что вы для этого делали? Похоже, мы перепробовали почти всё... Спасибо!

mkaec Guest	#2 09.09.2022 18:25:00 Почему это нельзя сделать через интерфейс контроллера? Кажется, что для линейки продуктов, которая так сильно зависит от центральной консоли управления, это было бы очевидным и простым решением.

CSKTMatthew

Guest

11.08.2022 15:37:00

Хотя эта ветка обсуждения и старая, она оказалась в первых результатах поиска, когда я искал способ заменить стандартный самоподписанный сертификат на моем контроллере Unifi на wildcard-сертификат. Вот что я сделал в 2022 году на контроллере Unifi версии 7.1.66, чтобы успешно это сделать:

# Сделал резервную копию существующего keystore для возможности отката, причём я не знал пароль от keystore
mv /var/lib/unifi/keystore /var/lib/unifi/keystore.backup

# Импортировал pfx и установил пароль для keystore (если нужно создать pfx, см. помощь 2 ниже)
keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore {ПУТЬ К UNIFI, у меня был /var/lib/unifi/keystore} -srckeystore {ПУТЬ К PFX, я использовал /etc/ssl/private/wildcard.pfx} -srcstoretype PKCS12

# Перезапустил службы Unifi
service unifi restart

# Если что-то пойдет не так, верните оригинальный keystore обратно и перезапустите службы Unifi
mv /var/lib/unifi/keystore /var/lib/unifi/keystore.borked
mv /var/lib/unifi/keystore.backup /var/lib/unifi/keystore

Надеюсь, это будет полезно. Дополнительные материалы, которые мне помогли:
1 https://www.namecheap.com/support/knowledgebase/article.aspx/10134/33/installing-an-ssl-certificate-on-ubiquiti-unifi/#ace_jar
2 https://www.sslshopper.com/ssl-converter.html

pelgv Guest	#4 17.05.2022 13:49:00 Я занимаюсь этим уже больше года... В чем разница между этим и импортом в хранилище ключей openssl?

MERDZD Guest	#5 18.02.2022 07:21:00 упс, у вас нет доступа к этой странице

Flo Guest	#6 19.09.2021 19:58:00 Подсказка: Похоже, что новые версии CloudKey требуют обновления следующих сертификатных файлов: /data/unifi-core/config/unifi-core.key и /data/unifi-core/config/unifi-core.crt

dlogan Guest	#7 27.07.2021 19:38:00 Это полный бред. У меня есть подписанные сертификаты на всех устройствах и серверах в нашей организации, но я никак не могу разобраться с этим дурацким способом установки сертификатов в Unifi.

asg333 Guest	#8 21.04.2021 15:03:00 Это один из первых результатов поиска способов сбросить контроллер UniFi, как вы можете прочитать. Похоже, что метод удаления и переустановки больше не работает... По крайней мере, у меня на MacBook Pro.

doumis

Guest

29.03.2021 01:11:00

Это ни в коем случае не «правильный/безопасный» способ, но если вас так же раздражает ошибка SSL в Chrome, как меня, когда я запускал контроллер на своем локальном компьютере, попробуйте вот что:

- Экспортируйте самоподписанный сертификат Unifi из Chrome в файл CER — просто кликните «Копировать в файл» на вкладке «Детали» сертификата в Chrome.
- Импортируйте этот CER в хранилище «Доверенные корневые центры сертификации» (MMC).
- Отредактируйте файл C:\Windows\System32\drivers\etc\hosts, добавив запись с вашим локальным IP-адресом и именем «unifi».
- Получите доступ к контроллеру по адресу «https://unifi:8443».

Так как DNS-имя самоподписанных сертификатов — «unifi», простое добавление такой записи в hosts позволит браузеру распознавать теперь доверенный сертификат без ошибок.

Счастливой небезопасности!

mrdvt92

Guest

#10

19.12.2020 00:45:00

Это было настоящее испытание. Вот что я сделал, чтобы всё заработало. Спасибо ребятам из Let's Encrypt, которые в итоге предоставили достаточно информации, чтобы помочь мне добиться результата.

Создаём самоподписанный сертификат *.my.tld, действующий 398 дней — максимум, который поддерживает Google:

openssl req -newkey rsa:2048 -nodes -keyout my.key -x509 -sha256 -days 398 -config my.conf -out my.crt

Это содержимое файла my.conf:

$ cat my.conf
[ req ]
prompt = no
distinguished_name = req_distinguished_name
x509_extensions = san_self_signed

[ req_distinguished_name ]
CN=*.my.tld

[ san_self_signed ]
subjectAltName = DNS:*.my.tld
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = CA:true
keyUsage = nonRepudiation, digitalSignature, keyEncipherment, dataEncipherment, keyCertSign, cRLSign
extendedKeyUsage = serverAuth, clientAuth, timeStamping

Теперь у нас есть файлы my.key и my.crt.

Копируем их на Cloud Key:

scp my.key my.crt account@unifi.my.tld:

Заходим по SSH на контроллер и перемещаем сертификаты в нужные папки:

ssh account@unifi.my.tld
cp /my.crt /etc/ssl/private/cloudkey.crt
cp /my.key /etc/ssl/private/cloudkey.key

Запускаем эти команды из скрипта Let's Encrypt cloudkey-renew-hook.sh на контроллере без изменений:

openssl pkcs12 -export -in /etc/ssl/private/cloudkey.crt -inkey /etc/ssl/private/cloudkey.key -out /etc/ssl/private/cloudkey.p12 -name unifi -password pass:aircontrolenterprise

keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore /usr/lib/unifi/data/keystore -srckeystore /etc/ssl/private/cloudkey.p12 -srcstoretype PKCS12 -srcstorepass aircontrolenterprise -alias unifi

chown root:ssl-cert /etc/ssl/private/*
chmod 640 /etc/ssl/private/*

/usr/sbin/nginx -t
/etc/init.d/nginx restart
/etc/init.d/unifi restart

Закройте все окна браузера Chrome и перейдите по адресу https://unifi.my.tld/

dlewis7444

Guest

#11

24.07.2020 22:35:00

Кто-нибудь имеет обновлённые инструкции по Dream Machine Pro 2020 года? Всё, что я нахожу, касается других конфигураций, где всё расположено иначе. И серьёзно, этого нет в интерфейсе?! Я всё больше разочаровываюсь в так называемом "Dream Machine" Pro. Нет клонирования MAC, нет фиксированных назначений DHCP, нет управления SSL-сертификатами. Вряд ли это можно назвать мечтой, ставшей реальностью.

V0id

Guest

#12

25.04.2020 13:20:00

cloudkey.crt (ваш публичный сертификат, подписанный вашим центром сертификации, для Let's Encrypt: fullchain.pem)
cloudkey.key (соответствующий приватный ключ, для Let's Encrypt: privkey.pem)
unifi.keystore.jks (ваш хранилище сертификатов CA, включая промежуточные сертификаты)

openssl pkcs12 -export -inkey YOUCERTIFICATEKEY.pem -in FULLCHAINCERTIFICATES.pem -out cert.p12 -name unifi -password pass:temppass
keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore unifi.keystore.jks -srckeystore cert.p12 -srcstoretype PKCS12 -srcstorepass temppass -alias unifi -noprompt -deststoretype pkcs12

Создайте cert.tar с этими тремя файлами и замените оригинальный файл в /etc/ssl/private. Теперь Cloud Key будет устанавливать новые сертификаты каждый раз при перезагрузке.
Так что у нас получится:
`tar cf cert.tar cloudkey.crt cloudkey.key unifi.keystore.jks`

Отлично сработало с сертификатом Let's Encrypt Wildcard.
Пришлось слегка подкорректировать пару моментов (см. цитату).

sec071

Guest

#13

18.03.2020 18:01:00

Тоже раздражён. У меня есть сертификат, подписанный DigiCert, который я хочу использовать. На Debian 8 с UniFi controller версии 5.12.35 постоянно выскакивает одна и та же ошибка:

java -jar lib/ace.jar import_cert star_pinebelt_net.crt DigiCertCA.crt TrustedRoot.crt
Не удаётся импортировать сертификат в хранилище ключей.

Кто-то уже смог заставить это работать на 5.12.35?

ZunairF

Guest

#14

29.01.2020 19:44:00

Для DigiCert:
1. Получите TrustedRoot.crt, DigiCertCA.crt, server.crt, поместите их в %UserProfile%\Ubiquiti UniFi\ — удалите все переносы строк.
2. В командной строке перейдите в %UserProfile%\Ubiquiti UniFi
3. Выполните команду: java -jar lib/ace.jar import_cert server.crt DigiCertCA.crt TrustedRoot.crt
4. Перезапустите контроллер.

AmazedMender16 Guest	#15 17.11.2018 16:56:00 Привет, @ndstevens, классно, что ты ответил! Спасибо! С уважением, Гленн Р.

NotSoHiddenSSID

Guest

#16

17.11.2018 16:54:00

Спасибо, что указали на это! Теперь они импортированы!... Выпущены [COMODO RSA Domain Validation Secure Server CA]... Выпущены [COMODO RSA Certification Authority]... Выпущены [AddTrust External CA Root]Сертификаты успешно импортированы. Пожалуйста, перезапустите UniFi Controller.

AmazedMender16 Guest	#17 17.11.2018 16:21:00 Привет, @ndstevens! Добро пожаловать в сообщество! Попробуй это. С уважением, Glenn R.

NotSoHiddenSSID

Guest

#18

17.11.2018 16:09:00

Да, в любом случае, я сменил сертификат с lets encrypt на Comodo, но всё равно получаю ошибку «Невозможно импортировать сертификат в хранилище». У меня установлена самая свежая версия: 5.9.29

root@xyz:/usr/lib/unifi# sudo java -jar lib/ace.jar import_cert sdn_domain_nl.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.cr

Невозможно импортировать сертификат в хранилище

root@xyz:/usr/lib/unifi#

Кто-нибудь может помочь?

dcorder

Guest

#19

02.11.2018 22:29:00

Я успешно сделал это на своей установке pfSense 2.4.4 и CA. Сначала скачайте корневой сертификат CA, а также сертификат и ключ для вашего хоста unifi. Мой хранилище ключей находится в /var/lib/keystore.

Далее я сделал следующее:
# сохранил резервную копию оригинального хранилища
mv /var/lib/unifi/keystore /var/lib/unifi/keystore.`date '+%Y%m%d-%H%m%S'`

# получил полную цепочку сертификатов
cat /tmp/root.crt /tmp/Unifi.crt > /tmp/fullchain.crt

# конвертировал цепочку в нужный формат
openssl pkcs12 -export -inkey /tmp/Unifi.key -in /tmp/fullchain.crt -out /tmp/cert.p12 -name unifi -password pass:temppass

# импортировал цепочку
keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore /var/lib/unifi/keystore -srckeystore /tmp/cert.p12 -srcstoretype PKCS12 -srcstorepass temppass -alias unifi -noprompt

# очистка
rm /tmp/root.crt /tmp/Unifi.crt /tmp/Unifi.key /tmp/fullchain.crt /tmp/cert.p12

muffelz Guest	#20 27.10.2018 13:21:00 @Josh_H: У меня такая же проблема, и я уже несколько часов ищу решение...

Читают тему (гостей: 1)