Toon posts:

hostname.lan ssl op unifi en dsmr reader, hoe?

Pagina: 1
Acties:

Vraag

dinsdag 5 maart 2024 22:17

Acties:
  • 0 Henk 'm!
  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 15-09 08:17

NeFoRcE

Hallo? Bent u daar?

Topicstarter
Dag!

Ik kom er maar niet uit.

Situatie:

Een ubuntu 22 server met als hostname; hostname.lan.

Ik heb daar Unifi Controller op staan, en DSMR Reader.

Wens:

Ik wil deze beide diensten voorzien van HTTPS met een geldig certificaat (zal waarschijnlijk self-signed moeten zijn, gezien de server niet van buitenaf benaderbaar zal zijn).

bijvoorbeeld:

https://hostname.lan:8443 -> Unifi Controller
https://hostname.lan -> DSMR Reader

Issue:
Ik loop al vast bij het beveiligen van de Unifi Controller.

Dit doe ik middels OpenSSL, een rootCA.pem genereren. Een CSR, en daarmee dan een server.crt en server.key etc.
Dan via Keytool laad ik die certificaten in in Unifi.
Wanneer ik de originele keytool gebruik, kan ik via: https://hostname.lan:8443 wel de unifi controller zien (hetzij ongeldig certificaat, logisch). Zodra ik 't certificaat inlaad door openssl, zie ik: "Deze site is niet bereikbaar". Ook heb ik het RootCA in Chrome ingeladen.

Ik word er een beetje gek van. Wat doe ik nu verkeerd? Ik snap het niet.

Commando's:

code:
1
2
3
4
5

openssl genrsa -out rootCA.key 4096
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem
sudo openssl req -new -keyout server.key -out server.csr -newkey rsa:2048
sudo openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 3650
keytool -import -alias unifi -file ~/openssl_cert_generation/server.crt -keystore keystore -storepass aircontrolenterprise


Zie ik iets over het hoofd? En kan uberhaupt wat ik wil?

Professioneel Heftruck Syndroom

Alle reacties

woensdag 6 maart 2024 17:11

Acties:
  • 0 Henk 'm!
  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 15-09 08:17

NeFoRcE

Hallo? Bent u daar?

Topicstarter
Iemand tips?

de journal laat zien dat de service wel draait verder.

code:
1
2
3
4
5
6
7
8

06 17:10:01 nuc2 systemd[1]: Started unifi.
░░ Subject: A start job for unit unifi.service has finished successfully
░░ Defined-By: systemd
░░ Support: http://www.ubuntu.com/support
░░
░░ A start job for unit unifi.service has finished successfully.
░░
░░ The job identifier is 24606.


Heb de certificaten ook al met chmod veranderd, maar niets helpt. Originele keytool; unifi start, maar dus onveilig certificaat. Aangepaste keytool met ingeladen certificaat; pagina kan niet worden weergegeven...

edit;
met de originele keystore, geeft:

code:
1

netstat -tulpen

tcp6 0 0 :::8443 :::* LISTEN 130 645794 125464/java

maar met de aangepaste keystore; niets, alsof dus unifi service wel draait, maar hij niet verder komt dan dat? Er wordt niet geluisterd naar 8443 zo blijkt...

[ Voor 21% gewijzigd door NeFoRcE op 06-03-2024 17:15 ]

Professioneel Heftruck Syndroom

woensdag 6 maart 2024 17:36

Acties:
  • 0 Henk 'm!
  • Soldaatje
  • Registratie: Juni 2005
  • Niet online

Soldaatje

Staat er wel 'active (running)' in de output van:
code:
1

systemctl status unifi.service

En qua poorten:
code:
1

netstat -tunelp | egrep '8443'

Ik zie ook in je laatste bericht alleen tcp6 en geen tcp voor ipv4, vandaar.

woensdag 6 maart 2024 19:02

Acties:
  • 0 Henk 'm!
  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 15-09 08:17

NeFoRcE

Hallo? Bent u daar?

Topicstarter
[knip]


weer wat verder, het type certificaat was niet goed wat ingeladen was. Dit was een: "trustedCertEntry" maar moest zijn: 'PrivateKeyEntry'.

Nu staat het certificaat wel goed in de keystore, maar in de browser zie ik:

Afbeeldingslocatie: https://tweakers.net/i/G9byLY3UofJMXbCu50UXOidoNsw=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/qdjxOooJc7mnsEXHcjVtLvyu.png?f=user_large

maar in de keystore lijkt alles nu wel goed te staan;
Afbeeldingslocatie: https://tweakers.net/i/Rs79myATlSzSX1xJytEQE5fnuPw=/800x/filters:strip_exif()/f/image/T8OMAyn18rA61I9Z9M59ec39.png?f=fotoalbum_large

[ Voor 108% gewijzigd door NeFoRcE op 06-03-2024 20:28 ]

Professioneel Heftruck Syndroom

donderdag 7 maart 2024 11:13

Acties:
  • +1 Henk 'm!
  • NeFoRcE
  • Registratie: Mei 2004
  • Laatst online: 15-09 08:17

NeFoRcE

Hallo? Bent u daar?

Topicstarter
FIXED!

Zo, dat kostte mij 3 avonden en heel wat tijd, maar het is gelukt! Vermoedelijk toch wat fouten met SSL, verkeerde config, etc.

Anyway, de oplossing zat 'm in precies deze stappen;

https://www.reddit.com/r/...lfsigned_certificate_for/

[ Voor 100% gewijzigd door NeFoRcE op 07-03-2024 11:53 ]

Professioneel Heftruck Syndroom

Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq