Gunakan Mari Enkripsi Sertifikat SSL dengan Unifi Cloud Key - Bagaimana-Untuk

Gunakan Mari Enkripsi Sertifikat SSL dengan Unifi Cloud Key

Ini adalah panduan langkah demi langkah tentang cara mengatur Ubiquiti Cloud Key yang menjalankan perangkat lunak Unifi Controller untuk menggunakan Lets Encrypt SSL Certificate gratis.

Total 16 Langkah

Langkah 1: Memulai Catatan


Harap Cadangkan konfigurasi Unifi Anda sebelum memulai prosedur ini

Lets Encrypt saat ini hanya berfungsi jika Anda telah menetapkan catatan DNS A publik untuk layanan Unifi Anda dan membuat Anda layanan Unifi tersedia di internet publik.

Baik port Unifii 8080 dan 8443 serta porta 80 dan 443 harus terbuka dan diteruskan ke kunci cloud Anda dari internet. Mari mengenkripsi juga membutuhkan akses tunggal ke port 443 selama tahap verifikasi sehingga harus menghentikan sementara layanan yang berjalan pada port 443
_________________________________________________________
Jika Anda ingin menggunakan Lets Encrypt dengan versi Non Cloud Key dari Unifi yang diinstal pada server Linux biasa, silakan lihat referensi saya

Menggunakan Lets Encrypt untuk mengamankan layanan yang di-hosting-cloud seperti mbi, Unifi, dan Unifi Video Ubiquiti

Prosedurnya sangat dekat, tetapi beberapa langkah berbeda dan tidak diperlukan. Jalur instalasi perangkat lunak Unifi di server Linux biasa juga berbeda.

Langkah 2: SSH ke dalam Cloud Key


Menggunakan Alat seperti dempul membuat sesi SSH dengan Cloud Key

Langkah 3: Perbarui Cloud Key Anda

Jalankan perintah berikut untuk mendapatkan daftar repositori terbaru sebelum memulai. Jika Anda melewati langkah ini beberapa perintah instal mungkin tidak berfungsi pada langkah-langkah berikut

sudo apt-get pembaruan

Langkah 4: Instal utilitas yang diperlukan

Jalankan perintah berikut untuk Menginstal Nano dan Git

sudo apt-get install git
sudo apt-get install nano

Langkah 5: Instal Perangkat Lunak Lets Encrypt untuk menandatangani dan memperbarui Sertifikat SSL

Jalankan perintah berikut untuk menginstal Lets Encrypt Software dan persyaratannya. Perintah kedua yang dijalankan memungkinkan mengenkripsi dan menginstal persyaratannya. Kemungkinan akan menunjukkan kesalahan pada saat proses instalasi. Anda bisa mengabaikan kesalahan. Kesalahan ini disebabkan oleh fakta bahwa kami belum membuat sertifikat

git clone https://github.com/letsencrypt/letsencrypt
letsencrypt / letsencrypt-auto

Langkah 6: Buka Port Firewall

Pastikan Ports 80 dan 443 terbuka pada firewall Anda dan diteruskan ke Unifi Cloud Key Anda. Biarkan Encypt mengharuskan port ini untuk terbuka karena mencoba memverifikasi konektivitas ke perangkat Anda sebelum akan mengeluarkan sertifikat. Port-port ini juga harus terbuka untuk pembaruan sertifikat Anda.

Langkah 7: Hentikan nginx pada kunci cloud


Hentikan layanan nginx pada kunci cloud. Layanan ini menggunakan port 443 dan akan mengganggu kemampuan Lets Encrypts untuk mengikat ke port 443 dan sangat sertifikat selama proses pembuatan. Jika Anda melewatkan langkah ini, Anda akan mendapatkan kesalahan yang mirip dengan gambar yang ditampilkan

Gunakan perintah

layanan nginx berhenti

Kami akan memulai kembali layanan ini setelah selesai

Langkah 8: Hasilkan Sertifikat


Gunakan perintah berikut untuk Menghasilkan Sertifikat

letsencrypt / letsencrypt-auto certonly --text --standalone --standalone yang didukung tantangan tls-sni-01 --domain mysubdomain.mydomain.com --email [email protected] --agree-tos --renew-by -default

Pastikan untuk mengedit bidang berikut untuk mencerminkan informasi Anda

mysubdomain.mydomain.com
[email protected]

Alamat email Anda diperlukan untuk pemberitahuan di masa mendatang tentang berakhirnya sertifikat

Langkah 9: Siapkan Unifi untuk menggunakan Lets Encrypt Cert dan bukan Cert Signed Cert

Hentikan layanan Unifi dengan perintah berikut

layanan unifi stop

Hapus Tautan di Unifi ke Sertifikat SSL yang ditandatangani secara internal

Keluarkan perintah di bawah ini untuk menghapus tautan simbolis di penyimpanan Kunci Unifi ke sertifikat yang ditandatangani sendiri yang digunakan oleh Kunci Cloud (Secara Default perangkat lunak Unifi dan halaman manajemen Kunci Cloud menggunakan sertifikat yang sama)

rm / usr / lib / unifi / data / keystore

Kemudian keluarkan perintah berikut

nano / etc / default / unifi k

dan hapus baris di file unifi yang bertuliskan sebagai berikut
UNIFI_SSL_KEYSTORE = / etc / ssl / private / unifi.keystore.jks

Simpan file dan keluar dengan ctrl + x

Langkah 10: Hasilkan file PKCS # 12 dan Muat Cert baru ke dalam Perangkat Lunak Unifi

Keluarkan perintah berikut untuk menghasilkan file sertifikat PKCS # 12 yang dapat dimengerti oleh perangkat lunak Java Based Unifi

sudo openssl pkcs12 -ekspor -inkey /etc/letsencrypt/live/mysubdomain.mydomain.com/privkey.pem -in /etc/letsencrypt/live/mysubdomain.mydomain.com/fullchain.pem -out /home/cert.p12 - name ubnt -password pass: temppass

Edit item mysubdomain.mydomain.com untuk mencerminkan domain yang sama dengan yang Anda gunakan pada langkah 7

Keluarkan perintah berikut untuk memuat file ke Perangkat Lunak Unifi

sudo keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore / usr / lib / unifi / data / keystore -srckeystore /home/cert.p12 -srcstoretype PKCS12 -srcstorepassypassypassypassypassypass

Langkah 11: Mulai Ulang Layanan yang Kami Hentikan

keluarkan perintah berikut

layanan mulai nginx
layanan unifi mulai

Langkah 12: Uji


Muat portal Unifi. Sekarang seharusnya memuat tanpa peringatan SSL dan menggunakan sertifikat SSL Valid (Gratis) menggunakan nama DNS Anda.

Selamat!

Langkah 13: Bersihkan

Hapus file perantara yang kami buat

sudo rm /home/cert.p12

Jika mau, Anda dapat menutup port 80 dan 443 di firewall Anda. namun Anda harus membukanya lagi untuk melakukan pembaruan sertifikat setiap 90 hari saat maksimal Mari Memungkinkan Enkripsi memungkinkan sertifikat menjadi valid. Saya memilih untuk tetap membuka port 443 agar pembaruan dapat dilakukan secara otomatis

Langkah 14: Mengotomatiskan Pembaruan Sertifikat

Buat file baru dan sesuaikan dengan informasi Anda dari atas untuk bidang berikut

mysubdomain.mydomain.com
[email protected]

Anda dapat mengunduh kode dari file teks terlampir. Untuk membuat file lakukan hal berikut

cd / home
nano renew_lets_encrypt_cert.sh

salin dan tempel kode yang terlampir. Buat perubahan Anda dan kemudian Simpan dan Keluar

ctrl + x
y untuk mengkonfirmasi simpan
masukkan untuk mengonfirmasi pembuatan file yang disebut renew_lets_encrypt_cert.sh

Keluarkan perintah berikut untuk membuat file dapat dieksekusi

sudo chmod + x /home/renew_lets_encrypt_cert.sh


24d86a27493af168491836667e84cfbe655de24a8c3308ec259387b0272b4a49_automate.txt

Langkah 15: Buat Pekerjaan Crontab untuk Menjalankan Skrip Pembaruan Secara Otomatis Sesuai Jadwal


Keluarkan perintah berikut, Jika crontab belum diatur, Anda mungkin diminta untuk memilih editor yang akan digunakan. Saya menyarankan nano

sudo crontab -e

tambahkan baris ke bagian bawah file dengan yang berikut ini
1 1 1 * * /home/renew_lets_encrypt_cert.sh

Untuk Menyimpan gunakan perintah
ctrl + x
y untuk mengkonfirmasi simpan
masukkan untuk mengonfirmasi pembuatan file bernama crontab

Ini akan menjalankan pekerjaan pada hari pertama setiap bulan pada jam 1 pagi untuk memperbarui Sertifikat SSL

Langkah 16: Selesai

Sayangnya Lets Encrypt saat ini memiliki beberapa batasan yang agak serius. Yang terbesar adalah kebutuhan setiap perangkat agar dapat diakses publik melalui internet menggunakan port 443 dan memiliki nama DNS terdaftar secara publik, serta kebutuhan untuk perangkat lunak Lets Encrypt itu sendiri harus mendengarkan pada port 443 untuk keperluan verifikasi.

Pembatasan ini akan membuat sebagian besar dari kita IT jenis menggunakan Lets Encrypt untuk membuang gunung peralatan kami dengan sertifikat yang ditandatangani sendiri dalam waktu dekat. namun untuk layanan yang dapat dipublikasikan di internet atau dirancang untuk menjadi seperti Unifi. Ini membuktikan solusi pemeliharaan yang sangat efektif dan mudah-mudahan (setelah disiapkan) rendah untuk menjauh dari sertifikat berbayar dan ditandatangani sendiri.

**Catatan**
Jika Anda melakukan pemutakhiran firmware pada CloudKey Anda setelah mengikuti prosedur ini, Lets Encrypt SSL cert dan item terkait akan dihapus yang mengharuskan Anda mengatur ulang dari awal.