Unifi Cloud Key के साथ SSL सेरेक्ट्स को एन्क्रिप्ट करें का उपयोग करें - कैसे

Unifi Cloud Key के साथ SSL सेरेक्ट्स को एन्क्रिप्ट करें का उपयोग करें

यह एक कदम दर कदम गाइड है कि कैसे यूबीटी क्लाउड कुंजी सेट करने के लिए यूनीफाइ कंट्रोलर सॉफ्टवेयर का उपयोग करके चलें ताकि एक निशुल्क एसएसएल सर्टिफिकेट का उपयोग किया जा सके।

कुल 16 चरण

चरण 1: नोट्स शुरू करना


कृपया इस प्रक्रिया को शुरू करने से पहले अपने यूनीफाई कॉन्फ़िगरेशन का बैकअप लें

यदि आप किसी सार्वजनिक DNS A रिकॉर्ड को अपनी Unifi सेवा को असाइन कर चुके हैं और आपको Unfi सेवाएँ सार्वजनिक इंटरनेट पर उपलब्ध करा दी हैं, तो केवल वर्तमान में काम करता है।

8080 और 8443 के साथ-साथ पोर्ट 80 और 443 दोनों यूनिफी पोर्ट को खुला और इंटरनेट से आपकी क्लाउड कुंजी के लिए अग्रेषित किया जाना चाहिए। सत्यापन चरण के दौरान LET एन्क्रिप्ट को भी पोर्ट 443 तक पहुंचने की आवश्यकता है ताकि पोर्ट 443 पर चल रही किसी भी सेवा को अस्थायी रूप से रोकना पड़े
_________________________________________________________
यदि आप एक नियमित रूप से लिनक्स सर्वर पर स्थापित यूनिफी के गैर क्लाउड कुंजी संस्करण के साथ लेट्स एनक्रिप्ट का उपयोग करना चाहते हैं, तो कृपया मेरा संदर्भ देखें

Ubiquiti के mFi, Unifi और Unifi वीडियो जैसी क्लाउड-होस्टेड सेवाओं को सुरक्षित करने के लिए Lets Encrypt का उपयोग करना

प्रक्रिया बहुत करीब है, लेकिन कुछ कदम अलग हैं और आवश्यक नहीं हैं। एक नियमित लिनक्स सर्वर पर यूनिफी सॉफ्टवेयर के इंस्टॉलेशन पथ भी भिन्न हैं।

चरण 2: SSH क्लाउड कुंजी में


पोटीन जैसे टूल का उपयोग करके क्लाउड कुंजी के साथ एक एसएसएच सत्र स्थापित करें

चरण 3: आपको क्लाउड कुंजी अपडेट करें

प्रारंभ करने से पहले नवीनतम रिपॉजिटरी सूची प्राप्त करने के लिए निम्न कमांड चलाएँ। यदि आप इस चरण को छोड़ते हैं, तो कुछ स्थापित कमांड निम्नलिखित चरणों में काम नहीं कर सकते हैं

sudo apt-get update

चरण 4: आवश्यक उपयोगिताओं को स्थापित करें

नैनो और गिट स्थापित करने के लिए निम्नलिखित कमांड चलाएँ

sudo apt-get install गिट
sudo apt-get install नैनो

चरण 5: एसएसएल सेर्ट्स पर हस्ताक्षर करने और नए सिरे से बनाने के लिए लेट्स एनक्रिप्ट सॉफ्टवेयर स्थापित करें

Lets Encrypt Software और उसकी आवश्यकताओं को स्थापित करने के लिए निम्न कमांड चलाएँ। 2 डी कमांड चलाता है एन्क्रिप्ट और अपनी आवश्यकताओं को स्थापित करता है। यह संभावना स्थापित प्रक्रिया में एक त्रुटि दिखाएगा। आप त्रुटि को अनदेखा कर सकते हैं। त्रुटि इस तथ्य के कारण है कि हमने अभी तक एक प्रमाण पत्र नहीं बनाया है

git क्लोन https://github.com/letsencrypt/letsencrypt
letsencrypt / letsencrypt-ऑटो

चरण 6: फ़ायरवॉल पोर्ट खोलें

सुनिश्चित करें कि पोर्ट 80 और 443 आपके फ़ायरवॉल पर खुले हैं और आपकी यूनिफ़ क्लाउड क्लाउड को अग्रेषित कर दिए गए हैं। आज्ञा दें कि इन प्रमाण पत्रों को खोलने की आवश्यकता है क्योंकि यह आपके डिवाइस से कनेक्टिविटी को सत्यापित करने का प्रयास करता है इससे पहले कि वह एक प्रमाण पत्र जारी करेगा। ये पोर्ट आपके प्रमाणपत्र के नवीनीकरण के लिए खुले रहने के लिए भी आवश्यक हैं।

चरण 7: क्लाउड कुंजी पर nginx बंद करो


क्लाउड कुंजी पर nginx सेवा बंद करें। यह सेवा 443 पोर्ट का उपयोग करती है और निर्माण प्रक्रिया के दौरान 443 और बहुत प्रमाण पत्र को पोर्ट करने के लिए बाध्य करने की क्षमता देता है। यदि आप इस चरण को याद करते हैं, तो आपको दिखाई गई छवि के समान त्रुटि मिलेगी

कमांड का उपयोग करें

सेवा nginx बंद करो

एक बार पूरा होने के बाद हम इस सेवा को पुनः आरंभ करेंगे

चरण 8: प्रमाणपत्र उत्पन्न करें


प्रमाणपत्र बनाने के लिए निम्न आदेश का उपयोग करें

letencrypt / letencrypt-auto certonly --text --standalone --standalone-समर्थित-चुनौतियाँ tls-sni-01 --domain mysubdomain.mydomain.com --email [email protected] --renew-by -चूक

अपनी जानकारी को प्रतिबिंबित करने के लिए निम्नलिखित क्षेत्रों को संपादित करना सुनिश्चित करें

mysubdomain.mydomain.com
[email protected]

प्रमाणपत्र छूट के बारे में भविष्य की सूचनाओं के लिए आपका ईमेल पता आवश्यक है

चरण 9: स्व-हस्ताक्षरित प्रमाण पत्र के स्थान पर Lets Encrypt Cert का उपयोग करने के लिए Unifi को Prep करें

निम्न आदेश के साथ यूनिफ़ी सेवा बंद करें

सेवा यूनिफी स्टॉप

यूनीफाई में निर्मित स्व-हस्ताक्षरित एसएसएल सर्टिफिकेट में लिंक को निकालें

क्लाउड कुंजी द्वारा उपयोग किए गए स्व-हस्ताक्षरित प्रमाणपत्र के लिए यूनीफ़ की दुकान में प्रतीकात्मक लिंक को हटाने के लिए नीचे दिए गए आदेश को जारी करें (डिफ़ॉल्ट रूप से यूनिफ़ी सॉफ़्टवेयर और क्लाउड कुंजी प्रबंधन पृष्ठ एक ही प्रमाण पत्र का उपयोग करते हैं)

rm / usr / lib / unifi / data / keystore

फिर निम्नलिखित कमांड जारी करें

नैनो / आदि / डिफ़ॉल्ट / यूनिफी

और यूनिफ़ फ़ाइल में लाइन को हटा दें जो निम्नानुसार पढ़ता है
UNIFI_SSL_KEYSTORE = / etc / ssl / निजी / unifi.keystore.jks

फ़ाइल को सहेजें और ctrl + x के साथ बाहर निकलें

चरण 10: तेह PKCS # 12 फ़ाइल जनरेट करें और नए प्रमाणपत्र को Unifi सॉफ़्टवेयर में लोड करें

PKCS # 12 प्रमाणपत्र फ़ाइल को उत्पन्न करने के लिए निम्नलिखित आदेश जारी करें जो कि जावा आधारित यूनिफाई सॉफ़्टवेयर समझ सकता है

सुदो खुलता है pkcs12 -export -inkey /etc/letsencrypt/live/mysubdomain.mydomain.com/privkey.pemkey -in/etc/letsencrypt/live/mububdomain.mydomain.com/fullchain.pem-out/home/cert.p12 - नाम ubnt -password पास: टेंपपास

चरण 7 में आपके द्वारा उपयोग किए गए समान डोमेन को प्रतिबिंबित करने के लिए mysubdomain.mydomain.com आइटम संपादित करें

फ़ाइल को Unifi सॉफ़्टवेयर में लोड करने के लिए निम्न आदेश जारी करें

sudo keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore / usr / lib / unifi / data / keystore -srckckystore /home/cert.p12 -srcstoretype PKCS12 -srcstorepass और अन्य लिंक

चरण 11: हमारे द्वारा रोकी गई सेवाओं को पुनः आरंभ करें

निम्नलिखित आदेश जारी करें

सेवा nginx शुरू
सेवा unifi शुरू

चरण 12: परीक्षण


Unifi पोर्टल लोड करें। इसे अब बिना किसी एसएसएल चेतावनी के लोड करना चाहिए और अपने DNS नाम का उपयोग करके एक वैध (नि: शुल्क) एसएसएल प्रमाणपत्र का उपयोग करना चाहिए।

बधाई हो!

चरण 13: क्लीन अप

हमारे द्वारा बनाई गई मध्यस्थ फ़ाइलों को हटा दें

सुडो rm / home/cert.p12

आप चाहें तो अपने फ़ायरवॉल पर पोर्ट्स 80 और 443 को बंद कर सकते हैं। हालाँकि, आपको प्रमाण पत्र नवीनीकरण करने के लिए उन्हें हर 90 दिनों में फिर से खोलना होगा। मैं पोर्ट 443 को खुला रखने का विकल्प चुन रहा हूं ताकि नवीनीकरण स्वचालित हो सके

चरण 14: प्रमाणपत्र नवीनीकरण को स्वचालित करें

एक नई फ़ाइल बनाएं और इसे निम्नलिखित क्षेत्रों के लिए ऊपर से अपनी जानकारी के साथ कस्टमाइज़ करें

mysubdomain.mydomain.com
[email protected]

आप संलग्न पाठ फ़ाइल से कोड डाउनलोड कर सकते हैं। फ़ाइल बनाने के लिए निम्न कार्य करें

सीडी / घर
नैनो नवीकरण_लेट्स_एन्क्रिप्ट_क्रर्ट.श

संलग्न कोड में कॉपी और पेस्ट करें। अपने परिवर्तन करें और फिर सहेजें और बाहर निकलें

ctrl + x
y बचत करने की पुष्टि करने के लिए
एक फ़ाइल बनाने की पुष्टि करने के लिए दर्ज करें जिसे renew_lets_encrypt_cert.sh कहा जाता है

फ़ाइल को निष्पादन योग्य बनाने के लिए निम्न आदेश जारी करें

सुडो चामोद + x /home/renew_lets_encrypt_cert.sh


24d86a27493af168491836667e84cfbe655de24a8c3308ec259387b0272b4a49_automate.txt

चरण 15: नवीनीकरण पर स्क्रिप्ट को स्वचालित रूप से चलाने के लिए एक Crontab नौकरी बनाएँ


निम्नलिखित कमांड जारी करें, अगर क्रॉस्टैब स्थापित नहीं किया गया है तो आपको उपयोग करने के लिए एक संपादक चुनने के लिए कहा जा सकता है। मैं नैनो का सुझाव देता हूं

सुडो क्रैताब-ई

निम्न के साथ फ़ाइल के निचले भाग में एक पंक्ति जोड़ें
1 1 1 * * / home/renew_lets_encrypt_cert.sh

आदेश का उपयोग करने के लिए सहेजें
ctrl + x
y बचत करने की पुष्टि करने के लिए
Crontab नामक फ़ाइल बनाने की पुष्टि करने के लिए दर्ज करें

यह एसएसएल सर्टिफिकेट को नवीनीकृत करने के लिए हर महीने की पहली सुबह 1 बजे नौकरी चलाएगा

चरण 16: पूरा

दुर्भाग्यवश चलें वर्तमान में कुछ गंभीर सीमाएँ हैं। पोर्ट 443 का उपयोग करके इंटरनेट के माध्यम से सार्वजनिक रूप से सुलभ होने के लिए हर डिवाइस की सबसे बड़ी आवश्यकता है और सार्वजनिक रूप से पंजीकृत डीएनएस नाम है, साथ ही सत्यापन उद्देश्यों के लिए पोर्ट 443 पर सुनने के लिए स्वयं सॉफ़्टवेयर एनक्रिप्ट की आवश्यकता है।

ये प्रतिबंध हममें से अधिकांश लोगों को कभी भी जल्द ही स्व हस्ताक्षरित सेर के साथ उपकरणों के हमारे पहाड़ों को खत्म करने के लिए लेट्स एनक्रिप्ट का उपयोग करने से रोकेंगे। हालाँकि, उन सेवाओं के लिए जो सार्वजनिक रूप से इंटरनेट पर हो सकती हैं या यूनीफ़ी जैसी डिज़ाइन की गई हैं। यह एक बहुत ही लागत प्रभावी और उम्मीद है (एक बार स्थापित) कम रखरखाव समाधान भुगतान और स्व हस्ताक्षरित प्रमाण पत्र से दूर होने के लिए साबित होता है।

**ध्यान दें**
यदि आप इस प्रक्रिया का पालन करने के बाद अपने CloudKey पर एक फर्मवेयर अपग्रेड करते हैं तो SSL को प्रमाणित करें और संबंधित आइटम को हटा दिया जाएगा ताकि आपको खरोंच से रीसेट करने की आवश्यकता हो।