Home
Instalar un certificado SSL en Ubiquiti Unifi – Alojamiento –

Instalar un certificado SSL en Ubiquiti Unifi – Alojamiento –

No Comments Conocimiento

¿Tiene problemas con su SSL? .

Unifi Dream Machine (UDM) es la última versión del hardware de administración de red creada por UniFi. Generalmente viene con UniFi OS (una versión de un sistema operativo Linux basado en Debian). Tiene dos variaciones: UDM-base, que técnicamente es una modificación de los controladores UniFi más antiguos, y UDM-Pro, que tiene su propia interfaz gráfica para mayor facilidad de uso.

Instalación de SSL en base UDM

El controlador incluye la instalación de un SSL. Este método es relativamente sencillo; sin embargo, existe un problema común que implica un mensaje de error que no indica la raíz real.

Esta guía describe varios métodos de instalación alternativos, muestra cómo corregir errores comunes y proporciona consejos útiles para mejorar la seguridad.

Nota importante: En ocasiones, es posible que se utilice un certificado predeterminado en el servidor en lugar del que usted instala, lo que puede provocar advertencias de seguridad en los navegadores. Para evitar este problema, independientemente del método de instalación que utilice, primero complete los pasos a continuación:

  • Conéctate a UniFi.
  • Detenga el controlador UniFi ejecutando:

    parada unifi-os

  • Elimine el enlace simbólico al archivo de certificado predeterminado y copie el archivo de certificado real a través de:

    rm /usr/lib/unifi/data/keystore && cp /etc/ssl/private/unifi.keystore.jks /usr/lib/unifi/data/keystore

  • Comente o elimine la siguiente línea en /etc/default/unifi
    UNIFI_SSL_KEYSTORE=/etc/ssl/private/unifi.keystore.jks
  • Reinicie el controlador UniFI usando este comando:

    reinicio de unifi-os

  • Continúe con la configuración de SSL utilizando uno de los métodos siguientes

Tenga en cuenta que la parte /etc/ssl/private/unifi.keystore.jks debe reemplazarse con la ruta a su nuevo almacén de claves donde se encuentran los nuevos archivos de certificado.

Método estándar con ace.jar

Este método es generalmente el más recomendable, aunque tiene algunas particularidades, por lo que no siempre es el más fiable.

El certificado debe instalarse en la carpeta donde se encuentra el archivo . Siga los pasos a continuación para completar la instalación SSL usando as.jar:

  1. Conéctese a su servidor a través del símbolo del sistema.
    • En servidores basados ​​en Linux o Windows, puede utilizar Masilla o una aplicación similar.
    • En MacOS, ejecute el Terminal solicitud.
    • En el servidor de Windows, ejecute cmd o Potencia Shell (conectado a través de un escritorio remoto si es necesario).

    Importante: Asegúrese de iniciar la aplicación con derechos de administrador en Windows. Para hacer esto, haga clic derecho en el icono del programa y elija el Ejecutar como administrador opción o hazlo de esta manera:
    Propiedades >> Compatibilidad >> marca el Ejecute este programa como administrador >> Aceptar.

    En Linux/MacOS, deberías tener raíz o sudo acceso de usuario. Para esto, ejecute el siguiente comando:

    sudo su –

  2. Para iniciar la instalación, abra el shell UniFi para acceder a los archivos UDM:

    caparazón unifi-os

  3. Vaya a la carpeta principal de UDM-base ejecutando:

    cd

    /usr/lib/unifi/

  4. Cargue los siguientes archivos desde su archivo SSL recibido en la carpeta base de UniFi:
    • Certificado de seguridad archivo en formato PEM (el .crt archivo recibido de la Autoridad de Certificación);
    • Certificado raíz;
    • Certificados intermedios.

    Utilice el siguiente comando:

    java -jar lib/ace.jar import_cert *su certificado*.crt SectigoRSADomainValidationSecureServerCA.crt USERTrustRSAAddTrustCA.crt addtrustexternalcaroot.crt

    Donde *su certificado* se reemplaza con su nombre de archivo real.

    Si recibió los certificados intermedio y raíz en un archivo incluido (.ca-paquete), puedes descargarlos por separado.

    Nota: que el comando de ejemplo anterior contiene certificados intermedios para el estándar escriba SSL.

  5. Después de ejecutar el comando, UniFi le pedirá que ingrese la contraseña del almacén de claves. Usar “empresa de control aéreo” (a menos que lo hayas cambiado manualmente en la configuración de UniFi) y confirma la importación del certificado.

    Tenga en cuenta Es posible que algunas versiones del servidor requieran que todo el paquete CA se cargue como un solo archivo. En tal caso, puede descargar el paquete correspondiente siguiendo las instrucciones en y use el siguiente comando:

    java -jar lib/ace.jar import_cert *su certificado*.crt paquete.crt

  6. Reinicie UDM-base para aplicar los cambios:

    reinicio de unifi-os

    Puedes comprobar la instalación.

    Importante: Hay un error conocido en algunas versiones modernas comunes de UniFi: después de importar los archivos al servidor, aparece el error “No se puede importar el certificado al almacén de claves”.

    Esto se debe a que en algunas versiones de UniFi, ace.jar no puede analizar la nueva cadena (\norte) símbolo.

    En Linux y MacOS, este problema se puede resolver eliminando estos símbolos con un simple comando:

    tr -d '\n\r' < *nombre de archivo* > *nombre de archivo temporal* && mv *nombre de archivo temporal* *nombre de archivo*

    Solución: Reemplace el *nombre de archivo* con el nombre real del archivo requerido. Aplique el comando a su certificado, a cada uno de los certificados intermedios y al certificado raíz.

    El valor *nombre de archivo temporal* es necesario como archivo temporal porque el comando no permite guardar el contenido modificado en el mismo archivo directamente. Por lo tanto, es necesario guardarlo en un lugar temporal y luego reemplazarlo por el antiguo.

    Alternativamente, puedes usar este comando:

    tr -d '\n\r' < *nombre de archivo* | echo $(cat -) > *nombre de archivo*

    En Windows, los archivos de certificado se pueden arreglar usando:

    • Abra el archivo con un editor de texto.
    • Hacer clic control+F y ve a la pestaña Reemplazar .
    • Marca la opción Extendido para reemplazar los símbolos de servicio.

    • Tipo \norte en el formulario y haga clic Reemplaza todo.

    • Repítelo con el parámetro. \r .
    • Guarda el archivo.

Instalación con herramienta clave

Esta opción no tiene problemas de análisis y permite cierta flexibilidad. Importar con una herramienta clave es muy similar a .

Importando PKCS7

Dentro del almacén de claves, importe el archivo en formato PKCS#7 (con un .p7b o .cer extensión).

Seguir Pasos 1-3.

Guarde el certificado Llave privada al archivo /data/keystore en el almacén de claves UniFi predeterminado después de usted.

  1. Sube el certificado de seguridad Archive el archivo SSL que recibió de la CA en el formato PKCS#7 (.cer o .p7b) en la carpeta base de UniFi.
  2. Para importar el archivo cargado al almacén de claves, ejecute:

    keytool -import -trustcacerts -alias unifi -file *su certificado*.p7b -keystore /data/keystore

    Ingrese la contraseña del almacén de claves “empresa de control aéreo” (a menos que se haya cambiado en la configuración de UniFi) y presione Ingresar para completar la importación.

  3. Reinicie la base UDM para aplicar los cambios:

    reinicio de unifi-os

¡Y ya has terminado! Puedes comprobar la instalación.

Advertencia: Es posible que reciba el error “No ingrese un certificado X.509” al importar el SSL en el formato PKCS#7. Puede estar relacionado con cadenas vacías adicionales en el archivo u otros problemas de formato. Si editar el archivo en un editor de texto no ayuda, lo mejor es importarlo.

En Windows, también puedes utilizar esta solución:

  • Cambie la extensión del archivo del certificado a .cer.
  • Haga clic derecho en el archivo y elija Instalar certificado. Continúe haciendo clic en las opciones hasta que ubique el Finalizar botón.

    CONSEJO: Dentro del navegador Internet Explorer, haga clic en Herramientas >> Opciones de Internet para instalarlo.
  • Abre el Contenido pestaña y haga clic en Certificados.
  • Elija su certificado entre los Otro pestaña y haga clic Exportar.
  • Hacer clic Próximo.
  • Seleccionar “Estándar de sintaxis de mensajes criptográficos: certificados PKCS#7 (.P7B)” y marque el “Incluya todos los certificados en la ruta de certificación si es posible” caja.
  • Hacer clic Siguiente >> Explorar . Ingrese el nombre del archivo y la ruta para guardar el nuevo archivo combinado.

    CONSEJO: Puede guardar el archivo con un .cer extensión.
  • Hacer clic Próximo y luego Finalizar.
  • Utilice este archivo recién creado durante la instalación en el almacén de claves.

Importando PEM

Alternativamente, puede importar el archivo SSL en formato PEM (.crt).

El siguiente ejemplo utiliza archivos para un formato . El proceso es similar para otros tipos de SSL. Busque los archivos correspondientes.

  1. Importe el certificado raíz:

    keytool -import -trustcacerts -alias root -file addtrustexternalcaroot.crt -keystore /data/keystore

  2. Importe certificados intermedios uno por uno usando alias separados:

    keytool -import -trustcacerts -alias intermedio2 -file USERTrustRSAAddTrustCA.crt -keystore /data/keystore

    keytool -import -trustcacerts -alias intermedio1 -file SectigoRSADomainValidationSecureServerCA.crt -keystore /data/keystore

  3. Importar el certificado real con el alias unificar:

    keytool -import -trustcacerts -alias unifi -file *su certificado*.crt -keystore /data/keystore

    TENGA EN CUENTA

    : Debe ingresar la contraseña del almacén de claves para cada importación y presionar Ingresar para completar el proceso.

    CONSEJO

    : Para evitar esto, agregue el argumento -storepass *contraseña* al final del comando. Reemplace la *contraseña* con su contraseña real para el almacén de claves UniFi.

  4. Reinicie UDM-base para aplicar los cambios:

    reinicio de unifi-os

Los archivos son los mismos que para el .

Importación de archivos PFX mediante línea de comando

Puede utilizar esta opción si la CSR se generó en otro lugar o si se utilizó el método en lugar del durante el proceso.

En este caso, un llave privada (.llave) se crea por separado. Debe importar el archivo de clave al almacén de claves junto con el certificado (.crt) y cadena (.ca-paquete ) archivos.

Pasos 1-3 son los mismos que en el .

Si usted prefiere realizar el proceso a través de la línea de comando, siga estos pasos:

  1. Sube el PEM certificado de seguridad archivo (.crt), y cadena archivo (.ca-paquete) que recibió en un archivo de la Autoridad de certificación en la carpeta base de UniFi. Mover o subir lo generado previamente llave privada archivo en la misma carpeta para su comodidad.

    Técnicamente, puedes ponerlos en diferentes carpetas; si lo haces, agregue las rutas completas a los archivos en los comandos de los siguientes pasos donde se utilizan estos archivos.

  2. Genere el archivo PKCS#12 (PFX) usando el comando OpenSSL:

    openssl pkcs12 -export -out *su certificado*.pfx -inkey *su certificado*.key -in *su certificado*.crt -certfile *su certificado*.ca-bundle -name “unifi”


  3. Importe el archivo PFX creado al almacén de claves:

    keytool -importkeystore -srckeystore *su certificado*.pfx -srcstoretype PKCS12 -destkeystore /data/keystore -deststoretype jks -deststorepass *contraseña*

    Reemplace el valor de *contraseña* con su contraseña real para el almacén de claves UniFi.

  4. Reinicie UDM-base para aplicar los cambios:

    reinicio de unifi-os


Si usted Si prefiere generar el PFX en otro lugar (p. ej.), haga lo siguiente:

  1. Genere el archivo PKCS#12 (PFX) utilizando cualquier herramienta conveniente.
  2. Cargue el archivo PFX al servidor donde está instalado el controlador UniFi (en la carpeta base UniFi).
  3. Importe el archivo PFX creado al almacén de claves:

    keytool -importkeystore -srckeystore *su certificado*.pfx -srcstoretype pkcs12 -srcalias 1 -destkeystore /data/keystore -deststoretype jks -destalias unifi -deststorepass *contraseña*

    TENGA EN CUENTA: Para el archivo PFX sin un alias asignado, 1 se utiliza como alias predeterminado. Además, asegúrese de incluir -srcalias y -destalias en el comando para evitar el error, “Alias ​​unifi no existe”. El valor de *contraseña* debe reemplazarse con su contraseña real para el almacén de claves UniFi.

  4. Reinicie UDM-base para aplicar los cambios:

    reinicio de unifi-os

Existe una pequeña posibilidad de que el alias predeterminado sea diferente. Si encuentra un error, puede verificar el alias con cualquiera de los siguientes comandos:

openssl pkcs12 -in *su certificado*.pfx -info

keytool -list -storetype pkcs12 -keystore *su certificado*.pfx -v

Instalación de SSL en UDM-pro

Para UDM-pro solo necesitas reemplazar el predeterminado llave privada y certificado autofirmado y reinicie UDM.

  1. Asegúrese de habilitar el Shell seguro (SSH) para UDM-pro:

    Configuración >> Configuración de red >> Autenticación del dispositivo >> Actívelo y configure el nombre de usuario y la contraseña (o genere una llave de accesoque es una opción alternativa que se te ofrecerá en el último paso).

  2. Conéctese a través de SSH y vaya a la carpeta de configuración para UDM-pro:

    CD /mnt/data/unifi-os/unifi-core/config/


  3. Prepare los archivos de instalación:

    Hay dos archivos dentro del…

Related posts:

  1. ¿Cuánto tiempo lleva activar mi cuenta de hosting? – Alojamiento – .com
  2. Cómo configurar una redirección de URL para un dominio – Dominios –
  3. Registro de nombre de dominio .gg | TLD .gg barato
  4. Cómo empezar a utilizar el correo electrónico privado de – Servicio de correo electrónico –
See also  Vídeo: Cómo cambiar de forma masiva la información de contacto de mis dominios - Vídeos instructivos -

Related Posts

Loading Facebook Comments ...
Loading Disqus Comments ...