Wie macht ihr das eigentlich mit dem Zertifikat auf der UDM?

Da gibts ja viele Lösungen.

Ich nutze einfach Cloudflare Tunnel (1 x Main und einen als Backup) mit einer Subdomain dann muss ich keine Ports freigeben.

Reverse Proxy wäre eine Möglihckeit.

Bei Selfhost Controllern konnte man ja eigene Zertifikate hinzufügen, ob das bei UDM,UDR & Co. möglich ist weiß ich nicht.

Bei meiner UDM-SE & UCKG2+ nutze ich nen Reverse Proxy (NPM), welcher über Docker (Portainer) läuft.

LG

Zitat von 8032

also läuft es doch auf irgendwelche anfälligen konstrukte raus... grml...

Per UI jedenfalls nicht konfigurierbar. Evtl. über der shell vom Controller realisierbar, hab aber diesbzüglich noch nix im Netz gefunden/gesucht. Via Reverse Proxy schien mir persönlich einfacher

Moin,

https://scotthelme.co.uk/setting-up-https-on-the-udm-pro/

ist ein bisschen her als ich das in meine Lesezeichen gelegt habe und wollte es irgendwann mal auf meinem CK2+ umsetzen.

Da ich aber jetzt eh Nginx Proxy einsetze hat sich das bei mir auch erübrigt.

Daher nicht getestet aber evtl hilft dir das

Zitat von amaskus

Moin,

https://scotthelme.co.uk/setting-up-https-on-the-udm-pro/

ist ein bisschen her als ich das in meine Lesezeichen gelegt habe und wollte es irgendwann mal auf meinem CK2+ umsetzen.

Da ich aber jetzt eh Nginx Proxy einsetze hat sich das bei mir auch erübrigt.

Daher nicht getestet aber evtl hilft dir das

Alles anzeigen

Ist das mittels Script nicht so eine Sache? Beim Update können diese doch teils nicht übernommen werden!?! Ich stelle mir das ärgerlich vor, man sitzt stunden lang an ein Script bekommt es zum laufen und beim Update ist alles wieder weg.

Das war ja auch noch OS 1, wie das jetzt mit OS 2 und 3 aussieht steht eh auf nem anderen Blatt.

Wobei du das mit Let's Encrypt eh alle 3 Monate wiederholen muss, damit das neue Cert eingespielt wird

Wie gesagt nur ein Einwurf weil mir beim lesen der gespeicherte Link eingefallen ist

Wenn man eh was anderes hosted ist NPM eh förderlich

Zitat von amaskus

Wobei du das mit Let's Encrypt eh alle 3 Monate wiederholen muss, damit das neue Cert eingespielt wird.

Selbst das lässt sich mit nem certbot script lösen.

Zitat

Wenn man eh was anderes hosted ist NPM eh förderlich

Da bin ich voll bei dir. Etliche Pages und Services im Dockercontainer laufen bei mir über NPM

Mit .local wird das mit dem Zertifikat eh nichts.

Da musst du ja mit ner eigenen Domain draufzeigen.

Und naja die Zertifikatswarnungen sind nervig aber man kommt ja recht leicht vorbei - zumindest wenn ich die quelle kenne und daran will

Zitat von 8032

Das miit dem ngnix proxy funzt bei mir normal auch, aber der hat gerade das Problem, dass er keine le Zertifikate erneuern kann.

Da hab ich auch gerade Probleme - evtl was bei LE ? habe mich aber auch noch nicht ausgehend damit befasst

Zitat von 8032

denn das mit den selbst signierten Zertifikaten funktioniert ja so nicht mehr wirklich.

Was mache ich falsch wenn ich das selbst Signierte in meinen CERT Store importiere ?

Was genau ist nicht so gut ? btw... mein unifi.local ist bis 2024 gültig...

Zitat von 8032

Lösungen die das eigene Netzwerk verlassen müssen um zu funktionieren, sind halt doof, wenn das inet mal weg ist.

Doof... prüft doch der Browser nach extern ob das Cert Gültig ist. Nen Revoke besteht oder oder oder..

Oder verstehe ich dich da falsch ? Ic meine es wird eh nach draußen telefoniert.

Wenn du das nicht haben willst benötigst du deine eigne CA.. wird ja auch gerne gemacht im Windows Umfeld...

Zitat von 8032

Der Weg über ubiquitti funktioniert eigentlich zuverlässig.

Na ja du hast auch ein gültiges Geert von let’s encrypt auf deiner UDM dafür.

mach mal ein (Version 3.x, geht echt auch mit 2.x)

openssl x509 -text -in /data/unifi-core/config/unifi-core-direct.crt | grep DNS

Du bekommst was im Format: langerHash.id.ui.direct.

Gültiges Let’s encrypt Zertifikat, das Lokal (wenn der DNS von der UDM) benutzt wird auch auf deine UDM Zeigt

Hässlich ich weis... aber es ist da und funktioniert.

Zitat von 8032

erzeit blockt der edge https://unifi.local und der chrome lässt durch

was ist den unifi.local ? Also wer löst das auf, ist das im deinem DNS sauber drinnen ?

Dan gib keinen Grund zu blocken (wen das cert im store drinsteht, ganz ohne Fehler)

Persönlich mag ich den *.local Baum nicht, da Tummeln sich immer die MDNS Geschichten.

Zitat von 8032

Das miit dem ngnix proxy funzt bei mir normal auch, aber der hat gerade das Problem, dass er keine le Zertifikate erneuern kann.

Genauere Information über die Fehlermeldung wäre schon Hilfreich um die Ursache finden zu können.

Ich nutze ein offizielles cert für meine Domäne. (Self signed geht aber eigentlich auch muß aber halt dem Browser bekannt sein und über die Domäne aufgerufen werden.

Habe es als PEM Datei mit dem Key und den intermediate certs importiert. Allerdings für die UDM admin Seite (folder) und nochmal extra für das User Portal (java keystore)

a)

cd /data/unifi-core/config/
scp /root/certkey.key unifi-core.key
scp /root/certificate_.xxxx.pem  unifi-core.crt

b)

keytool -importkeystore -deststorepass aircontrolenterprise  -destkeystore .keystore -srckeystore xxxx.p12 -srcstoretype PKCS12

Habe die Anleitungen vom OS1 genutzt und es irgendwie hinbekommen.

(typos sind der Uhrzeit geschuldet)

Split DNS und NGINX Proxy... Ich hab aber bisher keine Probleme die lokale IP aufzurufen, mit keinem Browser (Benutze allerdings auch nicht Firefox).