Ваш собственный SSL-ключ и сертификат

Ваш собственный SSL-ключ и сертификат, UniFi Network

alchemyx

Guest

14.06.2012 09:18:00

Привет, я пытался импортировать наш сертификат в UniFi контроллер (у меня есть сертификат от RapidSSL), но после этого контроллер просто не запускается. Думаю, дело может быть в отсутствии файла с ключом, но я не могу найти команду для импорта ключа. Пока что я делал примерно так:
java -jar lib/ace.jar import_cert /etc/lighttpd/server.pem /tmp/RapidSSL_CA_bundle.pem /tmp/Equifax_Secure_Certificate_Authority_DER.cer

server.pem содержит и ключ, и сертификат, но это не помогло.

Результаты:
parse RapidSSL_CA_bundle.pem (PEM, 2 сертификата): найдено найдено
parse Equifax_Secure_Certificate_Authority_DER.cer (DER, 1 сертификат): OU=Equifax Secure Certificate Authority, O=Equifax, C=US
parse server.pem (PEM, 1 сертификат): CN=abc.pl
Импортируем подписанный сертификат... выдан ... выдан ... выдан
Сертификаты успешно импортированы. Пожалуйста, перезапустите UniFi Controller.

После перезапуска контроллера я не могу подключиться по SSL — соединение просто сбрасывается.

elac

Guest

10.11.2018 15:24:00

Здравствуйте,

Сертификаты с www.sslforfree.com, которые у меня отлично работают на mFi в Ubuntu 16.04 LTS:

sudo service mfi stop
sudo openssl pkcs12 -export -in certificate.crt -inkey private.key -certfile ca_bundle.crt -out mfi.p12 -name mfi -password pass:aircontrolenterprise
sudo keytool -importkeystore -srckeystore mfi.p12 -srcstoretype PKCS12 -srcstorepass aircontrolenterprise -destkeystore /usr/lib/mfi/data/keystore -storepass aircontrolenterprise
sudo service mfi start

Спасибо за вашу помощь.

ShuaBlue

Guest

30.07.2018 20:06:00

Привет! Знаю, что это старое сообщение, но как убрать обязательное использование SSL в файле server.xml? Я уже пробовал разные варианты, но меня либо постоянно перенаправляет на https на порту 8443, либо на обычном http на 8443 или 8080 вообще ничего не показывает. Если бы я мог убрать требование SSL, уверен, это решило бы мою проблему. Любая помощь будет очень ценна.

antgrace

Guest

30.06.2018 10:22:00

Спасибо всем за отклики — просто невероятно, что в программном обеспечении контроллера нет возможности сгенерировать CSR для импорта доверенного сертификата. На мой взгляд, это просто must-have для любого оборудования, которое используется в бизнесе. В любом случае, у меня такая же проблема, как и у одного из пользователей выше, только я использую Unifi Cloud Key Controller (но доступ только локальный, а не через интернет — я стараюсь полностью отказаться от локальной серверной инфраструктуры, поэтому это устройство мне подошло, тем более что у него есть поддержка PoE). Каждый раз при перезагрузке контроллера сертификат сбрасывается на исходный самоподписанный, и мне приходится заменять его на мой обновлённый файл keystore с доверенным сертификатом и перезапускать сервис unifi. Это не сильно напрягает, так как перезагрузки бывают редко, но всё же хотелось бы исправить этот баг. У всех так, или только у некоторых? И если кто-то тоже с этим столкнулся, удалось ли решить проблему? Спасибо!

jeroentielen Guest	#5 27.06.2018 14:11:00 Я написал статью в блоге, где подробно описал весь процесс 😉 https://www.jeroentielen.nl/ubiquiti-unifi-controller-ssl-certificate-creation-process/

siezzi Guest	#6 20.06.2018 00:27:00 Прошло 5 лет, и это до сих пор единственное рабочее решение, которое я нашёл. Спасибо.

yz30 Guest	#7 27.03.2018 06:29:00 Да, на Synology всё хорошо работает с резервным прокси. И с резервным прокси.

skywaver Guest	#8 26.03.2018 15:05:00 Я бы тогда использовал функцию ACL в Windows (безопасность файлов), чтобы ограничить права доступа пользователя, который запускает сервис Unifi.

ShuaBlue

Guest

26.03.2018 15:02:00

Спасибо за идею сделать файл только для чтения. Отличное предложение. Я попробовал, перезагрузился, но проблема с keystore, который возвращается к исходному состоянию, всё ещё есть. Готов выслушать другие варианты. Спасибо.

skywaver Guest	#10 26.03.2018 09:04:00 Пытался ли ты установить защиту от записи для файла через проводник Windows? Помню, у меня была такая проблема некоторое время назад. Кажется, установка файла в режим "только для чтения" решила её.

ShuaBlue

Guest

#11

16.03.2018 15:26:00

Спасибо всем за информацию о том, как заменить сертификат. У меня это сработало на Windows 10. Однако у меня возникает проблема каждый раз после перезагрузки. При перезагрузке сертификат почему-то возвращается к старому, и мне приходится заново переименовывать копию файла keystore в изменённую версию и перезапускать контроллер mFi. Приходится делать это каждый раз после перезагрузки. Кто-нибудь ещё сталкивался с такой проблемой на Windows? Если да, как вы её решили?

marcelkroon Guest	#12 19.02.2018 12:24:00 Большое спасибо! Всё заработало на моей машине с Server 2012 R2 и (Comodo) wildcard сертификатом, благодаря твоему объяснению!

ssi_cento Guest	#13 06.12.2017 15:17:00 Отлично работает с сертификатом Comodo SSL wildcard. Большое спасибо!

darb Guest	#14 23.04.2017 20:12:00 Спасибо! Всё отлично сработало!

dino2016 Guest	#15 31.03.2017 21:34:00 https://gist.github.com/dalenoe/fda97eb9399c5d0a8708329bc42cfcd1

thehammer86 Guest	#16 31.03.2017 20:31:00 Отлично работает на Ubuntu 16.04 amd64. Спасибо!

ediaz

Guest

#17

23.01.2017 12:32:00

Если кому-то нужны такие же команды для letsencrypt (у меня они работают на unifi с letsencrypt). Всё автоматизировано для использования в скрипте:

cd /etc/letsencrypt/live/mydomain.com

openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out pkcs.p12 -passout pass:aircontrolenterprise -name unifi

keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore /usr/lib/unifi/data/keystore -srckeystore /etc/letsencrypt/live/mydomain.com/pkcs.p12 -srcstoretype PKCS12 -srcstorepass aircontrolenterprise -alias unifi -noprompt

/etc/init.d/unifi restart

ahoogerhuis

Guest

#18

21.11.2016 00:21:00

Это то, с чем мне приходится сталкиваться пару раз в год (крупные обновления ОС контроллера или истечение срока сертификатов, у нас несколько разных контроллеров), так что решил сохранить себе, чтобы в следующий раз не тратить по два часа на гугление и эксперименты.
Метод, который упоминался две записи выше — прямое преобразование из полного PEM-цепочки в PKCS#12 — работает лучше всего. Без проблем.
Когда пытаешься использовать «openssl bla bla -certfile foo» и собирать цепочку таким способом, всегда какие-то проблемы возникают.
При создании PEM-файла с полной цепочкой порядок всегда такой: $my-cert, $intermediary-CA, $root-CA:
cat unifi.acme.com.crt interCA.crt CA.crt > unifi-fullchain.acme.com.crt
Вот. Половину года спустя скажу себе спасибо, когда срок очередного сертификата подойдёт к концу. 😛
-A

Spoudumen Guest	#19 03.11.2016 00:05:00 @jasonlich Сработало идеально спустя 3 года. Огромное спасибо, рад, что нашёл твоё сообщение после долгих поисков!

ktiedt Guest	#20 05.10.2016 06:27:00 Для тех, кто пользуется Lets Encrypt: (пишу тут, потому что мне было адски сложно найти все нужные команды в одном месте, может, только я упустил их где-то в глубине темы) melo на https://community.letsencrypt.org/t/how-to-use-the-certificate-for-tomcat/3677/9 дал простой openssl-команду, чтобы из fullchain.pem сделать pk12-файл, и после этого уже очень легко загрузить его в unifi. Скопировал сюда (и подкорректировал для unifi вместо tomcat), чтобы не потерять из-за изменения ссылок или чего-то еще: создайте PKCS12, который содержит и полный цепочку, и приватный ключ, у меня это выглядело так: openssl pkcs12 -export -in fullchain.pem -inkey privkey.pem -out fullchain_and_key.p12 -name unifi конвертируйте этот PKCS12 в JKS, команда такая: keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore /usr/lib/unifi/data/keystore -srckeystore unifi.p12 -srcstoretype PKCS12 -srcstorepass aircontrolenterprise -alias unifi Я сделал всё из каталога /etc/letsencrypt/live/[ваш домен]/ и через пару минут уже работал на новом сертификате.

Читают тему (гостей: 1)