SSL-сертификат сгенерирован, но файл .key отсутствует — невозможно импортировать сертификат в хранилище ключей.

RSS

SSL-сертификат сгенерирован, но файл .key отсутствует — невозможно импортировать сертификат в хранилище ключей., UniFi Network

onolisk

Guest

12.11.2018 18:23:00

Привет! Надеюсь, этот форум поможет прояснить мою путаницу, потому что я уже несколько часов этим занимаюсь. Я следовал инструкциям, указанным здесь, чтобы сгенерировать CSR. В итоге получил файлы unifi_certificate.csr.der и unifi_certificate.csr.pem. Открыв оба в блокноте, заметил, что только в .pem-файле есть -----BEGIN CERTIFICATE REQUEST. Поэтому я отправил GoDaddy текст именно от ---BEGIN до ... END CERTIFICATE REQUEST-----. В ответ получил два файла, назову их a.crt и b.p7b. Затем выполнил команду java -jar lib\ace.jar import_cert a.crt b.p7b, но получил сообщение «Unable to import the certificate into keystore». Вдобавок, в других руководствах говорится о файле с расширением .key, который у меня нигде не находится. Также пробовал использовать сертификаты, предоставленные «apache», но безуспешно. Пытался с помощью KeyStore Explorer заменить unifi файл на ssl сертификат, но из-за этого контроллер вообще перестаёт загружать страницу. Может, я где-то накосячил? Буду признателен за любую помощь.

james.dunn Guest	#2 29.07.2020 19:34:00 @onolisk СПАСИБО! Я несколько дней пытался это настроить. Руководство, на которое ты дал ссылку, помогло мне решить проблему! https://www.jeroentielen.nl/ubiquiti-unifi-controller-ssl-certificate-creation-process/

rschwidder

Guest

30.12.2018 12:17:00

Та же проблема здесь. Я решил её, отредактировав файлы *.crt в notepad++. Просто поставьте все данные в ОДНУ строку. Вот так:
-----BEGIN CERTIFICATE-----blaBLABlabLablABLabLAblaBLABlabLablABLabLA-----END CERTIFICATE-----
Вместо
-----BEGIN CERTIFICATE-----blaBLABlabLablABLabLAblaBLABlabLablABLabLAbla-----END CERTIFICATE-----

dkbishop1

Guest

11.12.2018 06:48:00

Год назад я купил SSL-сертификат на Namecheap, и у меня осталось ещё два года его действия. Но для моего NVR на Windows 10 мне понадобится отдельный сертификат. Возможно, парень из Crosstalk сделал видео на эту тему с использованием letsencrypt.

onolisk

Guest

11.12.2018 06:05:00

Привет, dkbishop1! С тех пор, как я создал эту тему и настроил SSL-сертификат от GoDaddy, я успешно защитил ещё два сервера. Один — Windows ВМ на локальном оборудовании, второй — Ubuntu-сервер в AWS. Для последних двух я использовал бесплатный сертификат от LetsEncrypt. Очень советую использовать LetsEncrypt для настройки бесплатного сертификата с автоматическим продлением. Вот видео, по которому я настраивал сертификат для Linux: https://www.youtube.com/watch?v=1sGyrZG_FEs

С уважением.

dkbishop1

Guest

10.12.2018 17:18:00

У меня все сертификаты в одну строку, но связанный crt так не работает. .key тоже не в одной строке. Проблема в несовпадении .key, а не в импортировании сертификатов. Спасибо. SSL на UCK работает, что странно, а ошибка SSL возникает на стороне контроллера — ERR_SSL_PROTOCOL_ERROR.

@AmazedMender16

Если что-то ещё нужно — дайте знать, потому что я совсем застрял :\ Ну, в итоге сам решил после двух дней всякой чепухи. UBNT ОЧЕНЬ нужно сделать этот процесс менее замороченным!

AmazedMender16 Guest	#7 10.12.2018 17:16:00 Привет, @dkbishop1, Убедись, что весь сертификат записан в одну строку. Ты пытаешься импортировать его для контроллера или UCK? С уважением, Glenn R.

dkbishop1

Guest

10.12.2018 17:12:00

Я использовал видео whowe на YouTube, которое уже много раз работало:
keytool -importkeystore -srckeystore keystore -destkeystore keystore.p12 -deststoretype pkcs12
openssl pkcs12 -in keystore.p12 -nokeys -out unifi.crt
openssl pkcs12 -in keystore.p12 -nocerts -nodes -out unifi.key
cp unifi.key /etc/ssl/private/unifi.key

Ошибка, которую я получаю:
root@UniFi-CloudKey:/etc/nginx/sites-enabled# nginx -s reload
nginx: [emerg] SSL_CTX_use_PrivateKey_file("/etc/ssl/private/unifi.key") failed (SSL: error:0B080074:x509 certificate routines:X509_check_private_key:key values mismatch)

В итоге они действительно не совпадают, потому что мой приватный ключ отличается от ключа ssls.com, и когда я копирую и вставляю его в файл .key, перезапуск nginx проходит без ошибок. Но при этом я получаю ошибку SSL, как и автор темы, пытаясь зайти в контроллер через cloudkey.

Где-то читал, что alias теперь "неправильный", хотя до версии 5.9.29 (той, что я использую) всё работало нормально. Сейчас не могу найти ту тему.

Извиняюсь за своё раздражение. Вся эта платформа плохо объяснена, учитывая, что нам приходится обращаться к YouTube, чтобы настроить оборудование UBNT.

Буду признателен за любую помощь.

AmazedMender16 Guest	#9 10.12.2018 16:48:00 Привет, @dkbishop1, мне жаль, что у тебя такие проблемы... Как ты пытался импортировать SSL-сертификат? Какая у тебя версия контроллера? С уважением, Гленн Р.

dkbishop1 Guest	#10 10.12.2018 16:37:00 У меня теперь такая же проблема, и искать помощь здесь просто абсурдно. Информация настолько разбросана, что решение того, что именно нужно добавить в GUI, занимает буквально часы, а иногда и дни, потому что эти изменения, видимо, ломают парсинг crt и теперь ещё и KEY FILE! Соберитесь, UNIFI! Что за ерунда! Кто вообще хочет видеть сообщение об ошибке SSL при работе с этим оборудованием? В отличие от onolisk, я не могу пойти в GoDaddy, и используя видео от whowes (и связанное видео про удаление переносов строк в crt файлах), файл ключа теперь тоже испорчен. Опять приходится искать информацию часами, потому что Unifi не может даже нормально обновить свой сайт по вопросам ошибок импорта, не говоря уже об этом форуме. Жалею, что вообще купил этот продукт.

Читают тему (гостей: 1)