Пытаюсь установить SSL-сертификат на Cloud Key. Мне удалось сгенерировать CSR-файл, используя инструкции отсюда: https://help.ubnt.com/hc/en-us/articles/212500127-UniFi-SSL-certificate-error-upon-opening-controller-page#notes Однако два файла — unifi_certificate.csr.der и unifi_certificate.csr.pem — создались в /usr/lib/unifi/data, а не в /var/lib/unifi. Когда я нашёл местоположение файлов, использовал CSR для получения SSL-сертификата на ssls.com. Получил файлы от ssls, скопировал весь текст в один .crt-файл и попытался импортировать. Получаю ошибку, что отсутствует файл сертификата. Но файл есть, и система его видит. Есть идеи, что делать дальше?

root@UniFi-CloudKey:/usr/lib/unifi# java -jar lib/ace.jar import_cert house_youthsection_org.crt  
parse house_youthsection_org.crt (PEM, 5 сертификатов):  
   найден [house.youthsection.org]
   найден [COMODO RSA Certification Authority]
   найден [AddTrust External CA Root]
   найден [COMODO RSA Certification Authority]
   найден [COMODO RSA Domain Validation Secure Server CA]
Импортирую подписанный сертификат [house.youthsection.org]
ОШИБКА! отсутствует файл сертификата для [COMODO RSA Domain Validation Secure Server CA]

Недавно я начал использовать универсальный сертификат Let’s Encrypt и хотел бы применить его с контроллером Unifi на Ubuntu Server. Так как сертификат и ключ находятся на Raspberry Pi (который занимается обновлением сертификата), я решил написать скрипт, чтобы при обновлении сертификата на Pi автоматически обновлялся сертификат для Unifi (а также для других устройств и ОС, таких как pfSense, ESXi и веб-интерфейс моего коммутатора SG3216), и делать это удалённо.

В итоге у меня есть скрипт, который, с помощью http://www.f-bit.net/?p=27, вроде бы делает то, что должен, но я постоянно получаю такую проблему. Моих знаний в области SSL недостаточно, чтобы понять причину, при этом Unifi не выдаёт никаких ошибок при установке сертификата. С точки зрения Unifi импорт прошёл успешно.

Кратко, что делает мой скрипт:
- Отделяет сертификат для моего домена от CA-сертификата Let’s Encrypt, так как certbot-auto хранит их в одном файле.
- Скачивает trustidrootx3_chain.p7b (DST Root CA X3) и конвертирует его в тот же формат, что и остальные сертификаты.
- Объединяет trustidrootx3_chain и CA-сертификат Let’s Encrypt в один файл, что нужно для следующего шага, так как опция -chain не распознаётся.
- Использует openssl для создания PKCS12 файла, содержащего универсальный сертификат, приватный ключ и файл с trustidrootx3_chain и CA-сертификатом Let’s Encrypt.
- Передаёт все файлы через scp в /usr/lib/unifi/.
- Делает бэкап keystore перед импортом PKCS12 файла.
- Запускает java -jar lib/ace.jar для импорта CA-сертификата Let’s Encrypt, универсального сертификата и trustidrootx3_chain (DST Root CA X3).
- Перезапускает сервис unifi.

Выводы скрипта:
parse certificate.pem (PEM, 1 certs): *.mydomainname.nl
parse trustidrootx3_chain.crt (PEM, 1 certs): DST Root CA X3
parse CA_LetsEncrypt.pem (PEM, 1 certs): Let’s Encrypt Authority X3
Importing signed cert[Let’s Encrypt Authority X3]... issued by [DST Root CA X3]
Certificates successfully imported. Please restart the UniFi Controller.

Где-то в процессе я получил предупреждение: «The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore data/keystore -destkeystore data/keystore -deststoretype pkcs12"». Но так как я уже использую PKCS12, не понимаю, откуда оно берётся.

Может, кто-то подскажет, в чём тут проблема?

Редактирование: Выполнение команды java -jar lib/ace.jar до (а не после) команды keytool, похоже, решило проблему 😀

Я этого не делал. Я делал что-то похожее. Может, стоит погуглить по запросу unifi ssl keystore explorer — это программа для Windows, которая умеет работать с Java Keystore. Если я правильно помню, в ней можно сделать всё, что нужно, через графический интерфейс в Windows. Главное — использовать пароль aircontrolenterprise (его тоже можно погуглить, и вы найдёте гайды по unifi).  
Не тестировал, но выглядит хорошо: https://www.jeroentielen.nl/ubiquiti-unifi-controller-ssl-certificate-creation-process/  
Тебе нужно разобраться, как скопировать файл keystore из одной и в другую Linux-машину. Думаю, Google поможет. (Смонтировать сетевой диск или использовать USB-флешку)

Решение 1: Если у вас есть резервная копия контроллера, полностью удалите unifi и установите заново. Возможно, у вас есть автокопия. Используйте Purge вместо remove, чтобы полностью удалить (не уверен, но, думаю, remove недостаточно).  
sudo apt-get purge unifi  
sudo apt-get install unifi  
После этого всё заработает, но чтобы снова всё работало, нужно импортировать резервную копию.

Решение 2:  
- Остановите программу unifi (в зависимости от версии Linux, команда systemctl или service должна сработать).  
- Скопируйте файл keystore из другой установки. Насколько я понимаю, не важно, если другая установка на другой ОС.  
- Затем перезапустите unifi.

Файл keystore должен быть здесь:  
в Linux — /var/lib/unifi/keystore  
в Windows — %UserProfile%\Ubiquiti UniFi\

Решение 3:  
Я запускаю это в виртуальной машине, и если делаю важные вещи, всегда заранее делаю снимок. Так что просто восстанавливаю виртуальную машину.  
Делаю так, потому что не слишком разбираюсь, и хочу иметь простой и надёжный способ вернуться к рабочему состоянию. Почти никогда не получается с первого раза выполнить что-то в Linux без 2-3 попыток  
Возможно, вам стоит попробовать это: https://community.ui.com/questions/741ab166-d387-400d-9c0d-9cd7622b1c28 (Прочитайте оба мои сообщения. На сегодняшний день всё ещё работает. Только что проверил через браузер (зелёный замок), дата выпуска сертификата 20 августа 2018 года, то есть сертификату всего 7 дней, а я установил его в январе. Значит обновление сертификата идёт и всё работает).

Было бы здорово, если бы мой импорт хоть как-то объяснял, почему не работает. Просто пишет: "Не удалось импортировать сертификат в хранилище ключей".

Изначально я выбрал тип загрузки apache на ssls.com, и мне выдали .ca-bundle цепочку, которую я не смог импортировать напрямую, поэтому поддержка прислала мне промежуточные .crt файлы. Я указал их в команде в неправильном порядке, поэтому просто пересоздал сертификат, скачал как windows/tomcat, заново импортировал — и теперь всё работает идеально. Спасибо за быстрые ответы!

Проверьте, что время и дата на сервере и клиентских машинах выставлены правильно — возможно, стоит обновить NTP-серверы. Проверьте это в режиме инкогнито в Chrome и в других браузерах. Какой именно сертификат вы выбрали? То есть, при скачивании с ssls вас спрашивали, для Tomcat, Apache, Windows и т.д. Можете ли вы выложить команды, которые использовали, и вывод, который получили при установке сертификатов?

Хорошо, проблема была в символах переноса строк. Я понятия не имею почему, но когда я удалил переносы строк из .crt файлов, их импорт прошло нормально. Вот мой (немного отредактированный) список команд:

$ cd ~/certificates/  
$ unzip yadda_yadda_yadda.zip  
$ cd /usr/lib/unifi/  
$ for i in ~/certificates/*.crt ; do tr -d '\n' < $i > $(basename $i); done  
$ java -jar lib/ace.jar import_cert yadda_yadda_yadda.crt COMODORSADomainValidationSecureServerCA.crt COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt

Подсказка, которая помогла, была в /var/log/unifi/server.log, где каждый раз при попытке прочитать оригинальные файлы выскакивала ошибка base64 decoding с сообщением «Illegal base64 character a». Я попробовал добавить возвраты каретки в сертификат — не сработало, но ошибка сменилась на «Illegal base64 character d». В итоге я полностью убрал все переносы строк из файлов, и это сработало. Ура.

Надеюсь, это поможет следующему, кто столкнётся с ошибкой «Unable to import the certificate into keystore». Главное — смотреть в server.log для подсказок.

Спасибо за ответы на мой предыдущий вопрос,  
-J

Пароль может и не быть, если вы его не ставили. Скорее всего, формат ключа неправильный. Где вы брали сертификат? Возможно, не хватает сопутствующих файлов. Если присмотреться к переписке внимательнее, там есть инструкции по использованию letsencrypt. По мне так это проще, чем возиться с импортированными сертификатами.