Tag-arkiv: SSL

SSL cert til Ubiquiti Unifi AP

Jeg har, i erkendelse af at mine krav til trådløs dækning ikke helt kan opfyldes med en bilka router eller andre routere på markedet, købt et semi-enterprise produkt der hedder Ubiquiti UniFi. Semi-enterprise er måske lidt en hård vurdering da det fuldt lever op til mange enterprise krav. Men jeg synes det halter lidt på administrationsdelen. Dybest set så består det af nogle Access Points som man kan installere rundt om i huset og fra hvert af dem trækker man så kabel til sin switch eller router. Ind imellem switch og router skal man dog sætte en strømforsyning som så sender strøm til de forskellige Access Points via ethernet, altså POE. Hvis du har en switch som understøtter POE kan du imidlertid undvære strømforsyningerne og spare lidt strøm ;)

 

Der hvor det halter lidt med enterprise delen er at der ikke medfølger en hardware controller, dog er der en software controller, men denne er ikke OOTB til at få til at køre som en service. Men hvis du har en pc der kan køre applikationen 24/7 så er du alligevel meget godt med. Controlleren opsamler logs og kan agere hotspot voucher udbyder og meget meget andet. Denne controller dog ikke nødvendig for at dine Access Points fungerer, du kan nøjes med at installere den, starte den op, konfigurere dit netværk og slukke controlleren, så kører dine access points dit netværk helt fint. I mit tilfælde er dog ikke helt nok da jeg gerne vil have et gæstenetværk og dette gæstenetværk skal benytte vouchers med 24-timers adgang. For at disse vouchers kan udstedes og checkes når gæster logger på, så skal hotspot manageren køre og denne er en del af controlleren.. Så denne skal i mit tilfælde være i luften 24/7.

 

Så langt så godt. Men når man så logger på controlleren, så dukker der en certifikat fejl op. Dette skyldes at den kører med et self-signed certifikat. Umiddelbart kunne jeg nok leve med dette og bare acceptere certifikat fejlen når jeg tilgår siden. Men for nylig opgraderede jeg mit ADFS miljø til v3.0 altså Windows Server 2012R2 og proxy serveren til denne service er en Web Application Proxy. Web Application Proxy serveren kan publicere https sider og validere dem på forskellige måder. Denne benytter jeg til at publicere vores interne wordpress med SSO og det er så stor en succes, at jeg gerne ville have min Unifi Controller med på samme vogn. Det kræver dog at WAP´en har en kopi af webserverens certifikat med nøgle. Og denne har jeg ikke. Så for at få det til at lykkedes skal jeg have et certifikat fra mit interne CA lagt ind i java-tomcat webservicen som controlleren dybest set er og det er ikke helt så let at få den til at acceptere certifikater fra en windows CA. Men efter lidt kamp og med god hjælp fra Ubiquiti forummet, så lykkedes det og her er opskriften.

 

Installer SSL cert og sørg for at nøglen er eksporterbar

Eksporter certifikatet med nøgle og alle certifikater i kæden

Giv det password “aircontrolenterprise”

På unifi serveren køres 

 

keytool -list -keystore “sti til certifikat” -storetype pkcs12

output ligner dette

Your keystore contains 1 entry 

le-webservercert-og et langt tal, 24-03-2014, PrivateKeyEntry,

Certificate fingerprint (SHA1): XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX

Gå ind i biblioteket c:\users\bruger\ubiquiti UniFi\data

omdøb keystore til keystore.orig

 

keytool.exe -importkeystore -srcstoretype pkcs12 -srcalias le-webservercert-og et langt tal -srckeystore “sti til certifikat” -keystore keystore -destalias unifi

Brug password ”aircontrolenterprise” 3 gange

Hvis ikke du kan finde keytool, så er det fordi java bin ikke ligger i din path. Keytool ligger i c:\Program Files\Java\jre7\bin

Og dit keystore ligger i c:\users\bruger\Ubiquiti UniFi\data