2
Unifi mit SSL-Zertifikat aus interner CA
Nach meinen Problemen meinen Unifi-Controller (unter Ubuntu 20.04) mit einem SSL-Zertifikat auszustatten, möchte ich den Lösungsweg für alle Nachahmer nachstellen:
Nachfolgende Befehle funktionieren nur als sudo:
Den Inhalt des Zertifikates kopieren und die Webseite der Zertifizierungsstelle öffnen (https://Zertifizierung.domain.intern/certsrv)
Hier ein neues Zertifikat anfordern und die gespeicherte Anforderung in das entsprechende Feld kopieren.
ACHTUNG:
Um die zusätzlichen Attribute nutzen zu können muss die CA dafür vorbereitet sein:
Auf der CA ausführen:
HINWEIS:
Diese Funktion kann, wenn sie nicht mehr benötigt wird mit
wieder deaktiviert werden.
Jetzt in den Attributen
eintragen und die Anfrage absenden.
Die Zertifikate jetzt aber nicht über die Webseite, sondern direkt aus der CA herunterladen.
Unifi Zertifikat exportieren:
CA Zertifikat exportieren:
Den im CA-Zertifikat enthaltenen privaten Schlüssel benötigen wir später nicht. Dieser kann später entfernt werden.
Ich habe jedoch festgestellt, dass alle anderen Export-Optionen nicht funktionieren im Zusammenhang mit dem Unifi-Controller.
Die beiden Dateien habe ich unifi.p7b und CA.pfx genannt.
Die beiden Dateien ins Homeverzeichnis hochladen zur weiteren Bearbeitung:
Jetzt mit z.B. nano die beiden Dateien in der Form bearbeiten, dass die Inhalte so aussehen:
unifi.crt
CA.crt
Jetzt diese beiden Zertifikate einbinden mit
Nach ein paar Sekunden sollte folgendes angezeigt werden:
Jetzt den Controller neu starten und die Webseite sollte ohne Fehlermeldung geladen werden.
Sollte der Import der Zertifikate fehlschlagen, liegt es meist an den nicht korrekt editierten Zertifikaten!
WICHTIG: Nicht vergessen die Originaldateien unifi.p7b und CA.pfx vom Controller wieder zu entfernen!!!
- Erstellung Zertifikatanfrage
Nachfolgende Befehle funktionieren nur als sudo:
cd /usr/lib/unifi
java -jar lib/ace.jar new_cert unifi.domain.intern FIRMA STADT BUNDESLAND DE
cd data
nano unifi_certificate.csr.pemDen Inhalt des Zertifikates kopieren und die Webseite der Zertifizierungsstelle öffnen (https://Zertifizierung.domain.intern/certsrv)
Hier ein neues Zertifikat anfordern und die gespeicherte Anforderung in das entsprechende Feld kopieren.
ACHTUNG:
Um die zusätzlichen Attribute nutzen zu können muss die CA dafür vorbereitet sein:
Auf der CA ausführen:
certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvcHINWEIS:
Diese Funktion kann, wenn sie nicht mehr benötigt wird mit
certutil -setreg policy\EditFlags -EDITF_ATTRIBUTESUBJECTALTNAME2
net stop certsvc
net start certsvcJetzt in den Attributen
san:dns=unifi.domain.internDie Zertifikate jetzt aber nicht über die Webseite, sondern direkt aus der CA herunterladen.
- Zertifikate aus der CA herunterladen
Unifi Zertifikat exportieren:
CA Zertifikat exportieren:
Den im CA-Zertifikat enthaltenen privaten Schlüssel benötigen wir später nicht. Dieser kann später entfernt werden.
Ich habe jedoch festgestellt, dass alle anderen Export-Optionen nicht funktionieren im Zusammenhang mit dem Unifi-Controller.
Die beiden Dateien habe ich unifi.p7b und CA.pfx genannt.
- Zertifikate umwandeln
Die beiden Dateien ins Homeverzeichnis hochladen zur weiteren Bearbeitung:
openssl pkcs7 -inform der -print_certs -in unifi.p7b -out unifi.crt
openssl pkcs12 -in CA.pfx -clcerts -nokeys -out CA.crtJetzt mit z.B. nano die beiden Dateien in der Form bearbeiten, dass die Inhalte so aussehen:
unifi.crt
-----BEGIN CERTIFICATE----- ..... -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- ..... -----END CERTIFICATE-----CA.crt
-----BEGIN CERTIFICATE----- ..... -----END CERTIFICATE-----Jetzt diese beiden Zertifikate einbinden mit
java -jar lib/ace.jar import_cert unifi.crt CA.crtNach ein paar Sekunden sollte folgendes angezeigt werden:
Certificates successfuly imported. Please restart the UniFi Controller.Jetzt den Controller neu starten und die Webseite sollte ohne Fehlermeldung geladen werden.
Sollte der Import der Zertifikate fehlschlagen, liegt es meist an den nicht korrekt editierten Zertifikaten!
WICHTIG: Nicht vergessen die Originaldateien unifi.p7b und CA.pfx vom Controller wieder zu entfernen!!!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 667119
Url: https://administrator.de/contentid/667119
Printed on: April 27, 2024 at 01:04 o'clock
2 Comments
Latest comment
Hallo,
für Java-Keystores fordere ich Zertifikate zwar lieber auf einem separaten Rechner an und spiele dann nur die p12 ein, aber CA-Zertifikate müssten sich in beiden Fällen gleich registrieren lassen, und der gewagte Schlüsselexport zu vermeiden sein (DER-codiert):
Grüße
Richard
für Java-Keystores fordere ich Zertifikate zwar lieber auf einem separaten Rechner an und spiele dann nur die p12 ein, aber CA-Zertifikate müssten sich in beiden Fällen gleich registrieren lassen, und der gewagte Schlüsselexport zu vermeiden sein (DER-codiert):
keytool -importcert -alias MeineRootCA -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -file /home/user/root.cerGrüße
Richard
Da es sich um eine interne CA handelt, kann man das denke ich riskieren, solange man die privaten Schlüssel wie o.g. anschließend löscht.