FreeBSD 11.1 con UniFi 5.7.23 y SSL comercial

#Ubiquiti nos entrega la instalación de nuestro controlador con un certificado auto firmado, lo que vamos a lograr es instalar un certificado SSL firmado comercialmente para que pueda dar el controlador UNIFI una conexión segura.

#Arrancamos desde una instalación limpia de FreeBSD 11.1

#debemos de tener en cuenta que el DHCP de nuestro dominio resuelva la dirección unifi.ehg.pe (donde ehg.pe es el nombre de nuestro dominio) apunte a la dirección IP de la maquina que tiene nuestro contolador, esto es para que el autodiscovery de los UAP puedan encontrar al controlador incluso no estando en el mismo segmento de red.

#actualizamos nuestro arbol de ports

portsnap fetch
portsnap extract

#instalando prerequisitos desde binarios

pkg install open-vm-tools
pkg install mongodb34
pkg install snappyjava

#agregamos esto al /etc/fstab

fdesc /dev/fd fdescfs rw 0 0
proc /proc procfs rw 0 0

#reiniciamos el servidor

reboot

#ingregamos al port de unifi

cd /usr/ports/net-mgmt/unifi5
make all install clean

# UNIFI usa un formato propietario para almacenar el certificado y la clave privada, es por eso que necesitamos convertirlo en este tipo de repositorio, este ejemplo es para UNIFI 5.7.23 sobre un FreeBSD 11.1, funciona si el controlador tambien esta en windows o linux solo hay que buscar donde esta el fichero keystore  

#lo ejecutamos en un directorio y previamente debemos de considerar lo siguiente

# cert.pem . : es el fichero que contiene nuestro certificado ssl comercial emitido
# privkey.pem: es el fichero que contiene nuestra clave privada con el cual generamos nuestro CSR
# fullchain.pem: es la cadena de confianza que resuelve a nuestro certificado de confianza.

 

mv /usr/local/share/java/unifi/data/keystore /usr/local/share/java/unifi/data/keystore.old
service unifi stop
openssl pkcs12 -export -in cert.pem -inkey privkey.pem -out unifi.p12 -name unifi -CAfile fullchain.pem -caname root
keytool -importkeystore -deststorepass aircontrolenterprise -destkeypass aircontrolenterprise -destkeystore /usr/local/share/java/unifi/data/keystore -srckeystore unifi.p12 -srcstoretype PKCS12 -alias unifi
chown -R unifi:wheel /usr/local/share/java/unifi/data/keystore

#no olvidemos de agregar unifi_enable=”yes” en /etc/rc.conf

service unifi start

#listo ya deberiamos tener nuestro controlador funcioando en https://unifi.ehg.pe:8443

#Ahora un forwand el puerto 443 a 8443 para evitar colocar el puerto

#agregamos a /boot/loader.conf

ipfw_load="YES"

#agregamos a /etc/rc.conf

firewall_enable="YES"
firewall_type="/etc/firewall.rules"

#editamos /etc/firewall.rules

-f flush
add fwd 127.0.0.1,8443 tcp from any to any dst-port 443 in
add allow all from any to any

#reiniciamos el servidor

reboot

#Listo se puede ingresar por medio de https://unifi.ehg.pe (donde ehg.pe es tu dominio)

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.