Abgelaufenes Zertifikat, kein Zugang mehr zu UCG oder UNVR über HTTPS

Diese Webseite finanziert sich ausschließlich durch freiwillige Spenden. Dank der Unterstützung unserer Nutzer können wir die Inhalte werbefrei und unabhängig anbieten. Jetzt Unterstützen

    Ich habe eigene DNS domain Name in der UCG Max als Host (A) addressen konfiguriert um zu vermeiden dass ich mir IP addressen merken zu müssen
    Da ich eine eigene Domaine besitze, sagen wir domaine.net habe ich mir von meinem Domain Hoster Lets Encrypt Zertifikate geholt in denen meine haupt Domaine und unterdomainen also auch ucg.domaine.net und unvr.domaine.net enthalten sind. Diese Zertifikate mit Schlüssel habe ich in der USG und UNVR sauber installiert und aktiviert.

    Alles funktionniert auch ohne Probleme und bekomme auch lokal keine Fehlermeldung wenn ich https verbindungen mit ucg.domaine.net und unvr.domaine.net auf meine Unifi Geräte zugreife... das PROBLEM tritt dann auf wenn die Zertifikate ablaufen (Lets Encrypt nur 90 Tage). Ich hatte den Termin verpaßt diese zu tauschen weil ich auf Reise war und das Zertifikat ist abgelaufen.... die USG und der UNVR waren nicht mehr zu erreichen, habe eine Fehlermeldung erhalten und ich habe keinen Weg gefunden lokal die Weboberflächen aufzurufen um die Zertifikate zu tauschen. Auch mit der direkten lokalen IP Adresse hat sich die Web Oberfläche des UCG geweigert eine Verbindung aufzumachen!


    Gott sei dank konnte ich noch über den https://unifi.ui.com/ Cite Manager auf die Geräte drauf und damit konnte ich die Zertifikate wechseln...

    Ist das normal so, hat as Problem auch schon mal jemand gehabt, wie habt ihr das gelöst? Ich wollte hier mal nachfragen bevor ich Unifi einen Bug Report schicke.
    Meine Erwartungshaltung wäre dass ich zwar eine Zertifikat Fehlermeldung bekomme weil es nicht gültig ist, dann aber die Möglichkeit besteht über Erweiterung zu bestätigen dass ich trotzdme hin will, aber ausgesperrt, das geht gar nicht!

    Gibt es eine Einstellung in Networks die mir erlaubt mindestens mit HTTP ohne Zertifikat zuzugreifen, jetzt werde ich immer zwangsweise auf eien HTTS Verbindung zurückgeroutet die ja nicht geht?

    Um hinweise bin ich dankbar!

    Die Domäne bzw. der webserver hat hsts an. Das bewirkt genau das. Kein gültiges Zertifikat, kein Zugriff. Spätestens nach dem ersten Besuch, für eine gewisse Dauer und ggf. dann auch für subdomains.

    Kann man in vielen browsern aber deaktivieren.

    Hier kannst Du dazu einiges lesen.

    Der webserver der GUI mag kein http soweit ich weiß. Bestenfalls redirected er dich zu https, wie heute üblich.

    DoPe Danke für den Hinweis, da hätte ich jetzt noch lange gesucht. Das Thema hsts ist irgendwie an mir vorbeigegangen.

    Ich habe für die lokalen betroffenen Seiten die HSTS-Einstellungen entfernen in Chrome und Comet Browser, damit ich da nicht wieder ausgesperrt werde.

  • BavariaR July 19, 2025 at 5:00 PM

    Set the label from offen to erledigt

    Noch ein Hinweis zu der Sache: Wenn Du die Zertifikatserneuerung nicht automatisiert bekommst, wird das in mittel- bis längerfristiger Zukunft sehr ungemütlich. Das CA/Browser-Forum arbeitet schon länger an dem Plan, Zertifikatslaufzeiten deutlich zu beschränken. Ab 2028 sollen beispielsweise nur noch 47 Tage erlaubt sein und man experimentiert bereits mit 6-Tages-Zertifikaten.

    Mein Domain Provider stellt mir schon automatisch neue Zertifikate zur Verfügung, bevor sie nach der Ablaufzeit ungültig werden. Das Problem ist, dass ich keinen Weg gefunden habe, dass ich auch das Unify Equipment (UCG) und die UNVR diese Zertifikate dann auch besorgt und installiert.

    Ja, ich verstehe Dein Problem damit schon. Vermutlich gibt es aktuell auch gar keinen Weg, das in Unifi-Geräten zu automatisieren. Wollte nur darauf hinweisen, dass manuelles Zertifikatsmanagement bald unpraktikabel werden wird - hoffentlich ziehen die Gerätehersteller dann entsprechend mit.

    Ja, eigentlich müsste Unifi da etwas tun, indem sie z.B. auch mit Lets Encrypt ein Deal machen, damit man die Zertifikate von denen sofort bekommen kann und dann eben auch automatisiert die Updates in Unifi reinladen kann.

    Wie das dann allerdings mit bestehenden Domains und so weiter geht, ist natürlich etwas schwierig. Oder Unifi müsste im Prinzip beim Domain Supplier irgendwie nachfragen mit dem jetzt noch gültigen Zertifikat, um das Update zu bekommen.

    Aber da bin ich leider nicht unbedingt der Experte, ob das überhaupt Protokolltechnisch und beim Zertifikate Management so vorgesehen ist.

    Aber vielleicht weiß da einer hier im Forum mehr. Hier gibt es ja Experten für alles, Gott sei Dank.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login