Создание SSL ваучера — помогите, пожалуйста

Создание SSL ваучера — помогите, пожалуйста, UniFi Network

jamie398

Guest

03.08.2013 06:58:00

Привет, я прочитал разные посты, например http://community.ubnt.com/t5/UniFi/Your-own-SSL-key-and-cert/td-p/285508 и руководствовался гайдом UniFi: «получите CSR, подписанный центром сертификации, вы получите несколько сертификатов обратно...». Именно этот шаг меня и сбивает с толку. Я искал у разных поставщиков SSL, например у 123reg.co.uk, но не совсем понимаю, что именно мне нужно.

В общем, у нас есть компьютер с версией 3.13, к нему подключаются удалённые точки доступа, которые обращаются к доменному имени, а оно уже направлено на внешний IP контроллера — и это работает отлично.

Я хочу использовать ваучеры, но когда пытаюсь, сначала замечаю, что в URL отображается IP-адрес удалённого ПК, а не имя (наверное, потому что имя не разрешается), и приходится принимать предупреждение безопасности, чтобы попасть на экран входа.

Кто-нибудь может порекомендовать поставщика или последовательность действий, чтобы это исправить? Или я видел, что некоторые просто отключают https и используют обычный http — это вообще разумно?

etza

Guest

30.04.2014 21:40:00

Привет, ребята! Я установил startssl на версии 3.1.9, и у меня проблема с редиректом. На странице контроллера всё нормально, я вижу SSL моего домена. На гостевой странице портала тоже вижу SSL моего домена, и всё ок. Но каждый раз, когда пользователь делает редирект с https, появляется предупреждение безопасности SSL, и это предупреждение от ubnt CA, а не моего домена! У кого-то была такая же проблема? Есть идеи?

iamkinghenry Guest	#3 18.11.2013 23:20:00 @GaryGapinski, ты просто герой 😀 Теперь всё работает. Я вводил неправильный пароль, вот я неуклюжий, думал, что можно использовать свой.

GaryGapinski

Guest

17.11.2013 13:03:00

Если keystore можно успешно перечислить, но он работает некорректно, а старый keystore работает нормально, я бы посоветовал остановить сервис, убедиться, что он действительно остановлен (проверьте, нет ли зависших процессов Java), затем очистить логи и запустить контроллер с новым keystore, после чего проверить логи на наличие ошибок.

iamkinghenry

Guest

16.11.2013 20:00:00

Команда "keytool -list -v -keystore keystore" действительно выдает то, что ты указал. Команда "openssl s_client -connect «hostname»:«<port» </dev/null" возвращает отказ в соединении, что логично, потому что страница контроллера unifi не загружается, хотя сервис unifi работает, если ввести команду "service unifi". Проблема в keystore, потому что если заменить его на оригинальный из unifi, страница контроллера unifi загружается. Я пробовал эту команду на порту webmin через https — там все сработало и выдало нужную информацию, так что проблема именно в unifi.

GaryGapinski

Guest

15.11.2013 09:22:00

Теперь вы выделяетесь тем, что вызвали необычное сообщение об ошибке. Либо keystore корректен, и проблема в чем-то другом, либо keystore некорректен. Поскольку старый keystore не вызывал эту новую ошибку, попробуйте проверить содержимое недавно созданного keystore с помощью команды
keytool -list -v -keystore keystore
Должен появиться длинный, довольно загадочный список с бандлом, содержащим ключ и сертификаты, начинающийся со строк
Keystore type: JKS
Keystore provider: SUN

Ваш keystore содержит 1 запись

Alias name: unifi

Если всё это выглядит нормально, убедитесь, что именно этот keystore используется контроллером UniFi (для начала работы с новым keystore контроллер придется перезапустить).

Если правильный keystore действительно используется, проверьте TLS-соединение с помощью
openssl s_client -connect «hostname»:«<port» </dev/null
где «hostname» — имя контроллера, а «port» — порт, который использует TLS-сервер контроллера. В выводе должен сначала появиться сертификат и цепочка центров сертификации.

Поскольку, видимо, вы написали в неподходящем топике, я не очень понимаю, вызвана ли ошибка самим контроллером UniFi, каким-то отдельным сайтом для ваучеров или вы вообще используете JKS с сервисом Tomcat, например, UniFi. Если вы пытались установить ключ и сертификаты на что-то, отличное от UniFi, то JKS, скорее всего, не подходит, а ключ, сертификат и цепочка CA настраиваются по-другому на обычных HTTPS-серверах.

iamkinghenry Guest	#7 15.11.2013 00:43:00 Мне удалось достать keystore, так что дело двигается вперед 😀 Теперь у меня появилась ошибка «ssl_error_rx_record_too_long».

iamkinghenry Guest	#8 14.11.2013 14:42:00 Спасибо, попробую ещё раз сегодня вечером. Ключ и сертификат — это класс 1 и отдельные файлы, которые я копирую и вставляю из StartSSL в текстовый файл. Не уверен, что они в формате PEM.

GaryGapinski

Guest

14.11.2013 07:23:00

Предположу, что у вас есть ключ и сертификат в виде отдельных PEM-файлов. Вы не уточнили, сертификат класса 1 или 2. Для создания полного PKCS12-бандла для конвертации в формат JKS также необходима цепочка CA. Для классов 1 и 2 используется разный промежуточный CA. Если это класс 1, то промежуточный сертификат CA находится по адресу http://www.startssl.com/certs/sub.class1.server.ca.pem, а корневой сертификат — http://www.startssl.com/certs/ca.pem. Эти два следует объединить (сначала промежуточный, затем корневой) в файл с именем CAchain.pem (имя не имеет значения) для операции openssl pkcs12. Для класса 2 используется промежуточный CA по адресу http://www.startssl.com/certs/sub.class2.server.ca.pem.

iamkinghenry Guest	#10 14.11.2013 01:48:00 @GaryGapinski Если есть минутка, я застрял. У меня есть ключ, сертификат и p12 от StartSSL. Я запускаю (заменяя example на свой домен) openssl pkcs12 -export -inkey example.com.key -in example.com.crt -out example.com.p12 -name unifi -CAfile CAchain.pem -caname root -chain. Но получаю ошибку: "Error unable to get local issuer certificate getting chain." Есть идеи, что я делаю не так?

Читают тему (гостей: 1)