Ubiquiti ошибка сертификата

  • #1

Добрый день. Похожая проблема на форуме поднималась еще в 2013 году, но решение ее не описана. Суть проблемы.
После обновления Bullet M2 titanium прошивки с версии 5.5 на 5.5.8 доступ к WEB интерфейсу начал осуществляться по HTTPS вместо HTTP. При попытке подсоединении IE выдает «Ошибка в сертификате безопасности этого веб-узла». Не беда жмем «Продолжить открытие этого веб-узла (не рекомендуется). » И на этом все, ожидание ответа. Иногда в адресной строке доходит до https://192.168.1.20/login.cgi?uri=/ и все. Пробовал и устанавливать сертификат и добовлять в надежные узлы, без результата. Попытка подключиться через Opera и FireFox также без результата.
Почему на странице оборудования прошивка указана версия 5.5.8 а на вкладке «загрузки» до доступна 5.5.10?
Благодарен всем за помощь.

Последнее редактирование: 20 Май 2015

  • #2

Поробуйте сбросить и перенастроить

  • Автор темы

  • #3

Поробуйте сбросить и перенастроить

Личка у Вас переполнена. Сброс через rezet выполняли, результат налогичен. А что вы хотите чтобы я перенастроил, и каким способом?

  • #4

Да, такая ошибка обсуждалась. Вывод был в том, что после обновления какой-то версии Явы в настройках ИЕ слетали параметры безопасности. Лечилось апгрейдом Явы, апгрейдом ИЕ, использованием Фокса, Хрома, Яши, Сафари, запуском апдейта ВыньДуся, откатом на предыдущую или самую последню прошивку.

Предлагаю сначала попробовать поработать с этим устройством с дргого ПК, ноута, планшета. Дело было в локальных настройках.

  • Автор темы

  • #5

Да, такая ошибка обсуждалась. Вывод был в том, что после обновления какой-то версии Явы в настройках ИЕ слетали параметры безопасности. Лечилось апгрейдом Явы, апгрейдом ИЕ, использованием Фокса, Хрома, Яши, Сафари, запуском апдейта ВыньДуся, откатом на предыдущую или самую последню прошивку.

Предлагаю сначала попробовать поработать с этим устройством с дргого ПК, ноута, планшета. Дело было в локальных настройках.

Добрый день ubnt.su. Ваш ответ можно считать официальным ответом службы технической поддержки? И его можно приложить к результатам проверки транспортной безопасности?

Вывод о том, «что после обновления какой-то версии ЯВЫ в настройках IE слетали параметры безопасности» для меня не очивидны, так как я обновил не Яву, а Вашу точку доступа. Если вы рекомендуете обновлять весь перечень указаный Вами выши, укажите системные требования для оборудования.

Последнее редактирование: 21 Май 2015

  • #6

Добрый день, Добрый.

Ответственность за настройки вашего оборудования и ваших компьюетеров несут те люди, которые их делали. Серьёзные компании приглашают интеграторов как раз в целях минимизации рисков получить неработающую систему. Если вы тот администратор, который взял на себя ответственность за настройки, то это ваша задача разобраться в проблеме и найти решение. Вы за это зарплату получаете.

Любые сообщения в форумах являются выражением личного мнения лица, их написавшего. Официальные ответы организации дают на бланке в ответ на официальные запросы.

  • Автор темы

  • #7

Вопрос закрыт. Через TFTP залил новую прошивку версия 5.5.10. взятую с официального сайта ubnt.com после этого доступ к web интерфейсу по https восстановился.

С ТАКИМ ПОДХОДОМ К КЛИЕНТАМ ЭТО ПЕРВЫЙ И ПОСЛЕДНИЙ РАЗ КОГДА Я СВЯЗЫВАЮСЬ С ЭТИМ ОБОРУДОВАНИЕМ!!!!!!! ВСЕМУ КОЛЛЕКТИВУ http://www.ubnt.su ВЫРАЖАЮ СВОЕ ЧРЕЗМЕРНОЕ НЕДОВОЛЬСТВИЕ….. ЭТО НАЗЫВАЕТСЯ НАВЯЗЫВАНИЕМ УСЛУГ. В ПОМОЩИ БЫЛО ОТКАЗНО И ПО ТЕЛЕФОНУ И ПО ПОЧТЕ, А НА ФОРУМЕ ПИШУТ ВИДНО ОТ СКУКИ.

  • #8

Добрый, в будущем постарайтесь оправдывать ваш ник. Не надо угрожать людям, которые вам ничем не обязаны.
Вы не оплачивали техподдержку. то есть вам никто ничего не должен. Или на автобусе вы тоже «зайцем» ездите?

Если вам не нравятся наши ответы, значит вы можете задать их кому-нибудь ещё. Это ваше право, но никак не наша обязанность.

  • Автор темы

  • #9

Добрый день Ubnt.su. Давайте пообщаемся, может подчеркнем, каждый для себя какую-нибудь полезную информацию.
Для начала я не интегратор, а конечный пользователь. Которому по своим должностным обязанностями приходится сталкиваться как с весьма распространенными, так и с узко специализированными продуктами. И на своей практике, я часто обращаюсь именно к производителям оборудования или их официальным представителям. Так как интегратор может уже не существовать, или быть из другого региона за много тысяч километров, или просто может не владеть столь специфическими знаниями, которые нужны для решения проблемы. А даже если и есть возможность работать через интегратора, то это получается испорченный телефон.
Если бы Вы сказали, что ни какого отношения не имеете к данной фирмы, то и разговора этого не было бы.
К примеру могу привести компанию Beward. Интегратор нам установил их оборудование. В итоге, в процессе использования их оборудования мы не смогли достичь желаемого результата изображения с камер. Просто не смогли отстроить баланс белого. Так нам региональный представитель, напрямую, минуя интегратора, меняет объективы. В период пост гарантийного обслуживания. Хотя они нам тоже не обязаны ни чем, но они гордо несут имя компании, и делают все, что бы конечный пользователь был доволен их оборудованием.
В Вашем случае, как минимум вопрос, почему на вкладке оборудования доступна версия 5.5.8, а на вкладке загрузке имеется версия 5.5.10. напрямую связан с Вами, и я ожидал ответа от Вас по этому вопросу.

Источник

При попытке посетить страницу контроллера появляется ошибка сертификата.

Ошибки, подобные этой могут появляться при отсутствии правильного сертификата SSL при посещении сайтов по HTTPS.

Купить оборудование в Rootstore
2.63

Возможные причины и рекомендуемые действия

Отсутствует правильный сертификат SSL.

Для повышения безопасности UniFi использует протокол HTTPS. Это означает, что браузер будет проверять правильность сертификатов при установлении безопасного соединения с web-сервером. Хотя появление тревожного сообщения раздражает, для соединения пользователя оно не создает никакого риска. Во избежание ошибок:

  1. Приобретите подписанный сертификат SSL у любого поставщика услуг web-хостинга.
  2. Затем внесите в контроллер следующие изменения:

sudo su – # cd <unifi_base> # on Windows, «%USERPROFILE%/Ubiquiti Unifi» cd /usr/lib/unifi # create new certificate (with csr) java -jar lib/ace.jar new_cert <hostname> <company> <city> <state> <country> # your CSR can be found at /var/lib/unifi # — unifi_certificate.csr.der # — unifi_certificate.csr.pem # have this CSR signed by a CA, you’ll get a few certificates back… # copy the signed certificate(s) to <unifi_base> # import the signed certificate and other intermediate certificates java -jar lib/ace.jar import_cert <signed_cert> [<other_intermediate_root_certs>…]

Примечание: После того, как у Вас будет созданный CSR, его можно будет найти в папке %USERPROFILE%Ubiquiti UniFidata. На Мас его можно найти в папке: /Users/username/Library/Application Support/UniFi/data

Купить оборудование в Rootstore

Источник

Пользователи могут увидеть страницу с сообщением: «Ваше соединение не защищено» с ошибкой: ERR_CERT_AUTHORITY_INVALID. Это связано с тем, что airOS по умолчанию поставляется с включенным HTTPS (а не HTTP), поэтому пользователи увидят предупреждение системы безопасности при доступе к веб-интерфейсу устройства. Однако, это никоим образом не ставит под угрозу безопасность устройства, вы можете безопасно нажать на «Дополнительно» и перейти к IP-адресу.

Если вы не хотите получать это предупреждение, вы можете отключить HTTPS на вкладке Services. Однако, отключение HTTPS приведет к тому, что весь трафик, направленный на веб-интерфейс устройства airMAX, не будет зашифрован, что позволит скомпрометировать учетные данные пользователя с помощью перехвата пакетов. Ubiquiti не рекомендует отключать HTTPS.

Существует альтернативный вариант: если у вас 10 (десять) или более устройств, совместимых с UNMS, вы можете подключить их к бесплатному облачному UNMS для мониторинга и управления, не получая при этом предупреждения о нарушении защиты SSL.

Источник
  • Вся активность

Сертификат SSL для устройств Ubiquiti Networks Inc.

Join the conversation

You can post now and register later.

If you have an account, sign in now to post with your account.

Источник

Having been bothered by Ubiquiti’s HTTPS certificate issue for years, today I finally find some time to resolve this. There are multiple ways to resolve this, but I’m not able to find a perfect solution on the internet, so I write down my solution here.

I’m not going to use a public domain name, neither will I issue a certificate through a public issuer, for example, letencrypt, which I’ve been vasively used for my public websites. The reason is for me, I don’t want my router to be exposed to the public internet, and the less exposion, the better. Setting up a letsencrypt certificate, most probably I need verify I own this domain name and the server, which means I will reveal my public IP address for my router, and that is not my intension.

With that, I’m going to generate a self signed certificate with a generated CA on a domain name I generated dedicated for my router (router.local). Then I will import my CA to my devices that need to access the router. Finally I’ll redirect my router’s local IP address to a local domain name (router.local).

Now I’m gonig to show you how to archive all the above step by step.

Genaret CA and certifacte for the router

Here is the script. Copy and paste it into a file and run it on a Mac/Linux environment.

#!/bin/ksh

function CreateCertificateAuthority {

if [ -f ./ubntCA.key ]; then rm ./ubntCA.key; fi
if [ -f ./ubntCA.pem ]; then rm ./ubntCA.pem; fi

#
# Create the Root Key
#
openssl genrsa -out ubntCA.key 4096

#
# Now self-sign this certificate using the root key.
#
# CN: CommonName
# OU: OrganizationalUnit
# O: Organization
# L: Locality
# S: StateOrProvinceName
# C: CountryName
#
openssl req -x509 
            -new 
            -nodes 
            -key ubntCA.key 
            -sha256 
            -days 36500 
            -subj "/C=US/ST=IS/L=TOTALLY/O=CONFUSED/OU=HERE/CN=LIANGSUN.ORG" 
            -out ubntCA.pem

print ""
print "Now install this cert (ubntCA.pem) in your workstations Trusted Root Authority."
print ""

}

function CreateServerCertificate {

if [ -f ./server.key ]; then rm ./server.key; fi
if [ -f ./server.csr ]; then rm ./server.csr; fi
if [ -f ./server.crt ]; then rm ./server.crt; fi

#
# Create A Certificate
#
openssl genrsa -out server.key 4096

#
# Now generate the certificate signing request.
#
openssl req -new 
            -key server.key 
            -subj "/C=US/ST=IS/L=ALSOTOTALLY/O=CONFUSED/OU=HERE/CN=ROUTER.LOCAL" 
            -out server.csr

#
# Now generate the final certificate from the signing request.
#
openssl x509 -req 
             -in server.csr 
             -CA ubntCA.pem 
             -CAkey ubntCA.key 
             -CAcreateserial 
             -extfile <(printf "subjectAltName=DNS:ROUTER.LOCAL,IP:172.10.0.1,IP:172.20.0.1,IP:172.30.0.1,IP:192.168.0.1,IP:192.168.1.1") 
             -out server.crt -days 36500 -sha256

}

function CreateServerPem {

cat server.crt  > server.pem
cat server.key >> server.pem

}

   CreateCertificateAuthority
   CreateServerCertificate
   CreateServerPem

This script will generate several files, and among them, there are 2 files are import to us, ubntCA.pem and server.pem. The file ubntCA.pem is the one we need to import into our devices that need to access the router.

As an exapmle, to import the CA to a Windows system, run this command on a Command line with Administrator access.

certutil -addstore -enterprise -f "Root" ubntCA.pem

Install the generated certificate on the router

From the last step, we have generated a file called server.pem. This is the file we need to install onto the router.

We can use scp command to copy this file to the router, like this:

scp server.pem USER@172.10.0.1:~/

Here, USER is the username, and 172.10.0.1 is the IP address of the router.

Open a ssh connection to the router, and copy the the file to the lighttpd server configuration folder.

cd /etc/lighttpd
sudo mv server.pem server.pem.bk
sudo cp /home/USER/server.pem ./

Then restart the lighttpd server:

sudo  killall lighttpd
sudo /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf

Bind the domain name to the router’s IP

Of course we can modify each client’s hosts file to redirect the domain router.local into the IP of the router, in this case, it’s 172.10.0.1, but I want to do this in a smarter way, so that each client doesn’t need to manually modify the hosts file. I’m going to modify the router itself.

Again ssh into the router and run configure command to goin the configuration shell.

Then run the following command:

set system static-host-mapping host-name router.local inet 172.10.0.1
commit
save

Probably there is a way to configure this on the Web UI also, but since CLI can handle this faster, I don’t want to find a way on the UI.

Now we can access the router on a client side without the certificate error. Just open https://router.local on a client that has imported the CA.

Last question is, what if a user open https://172.10.0.1 which is the IP address of the router? They will still get a SSL certificate error.

To resolve the last problem and make this solution perfect, follow the next step.

Redirect router IP to its domain name

Again ssh into the router and go to the folder /etc/lighttpd/conf-enabled and create a new file called 11-redirect.conf with the following content.

$HTTP["scheme"] == "https" {
    $HTTP["host"] =~ "^d+.d+.d+.d+$" {
        url.redirect = (
            "^(.*)$" => "https://router.local$1"
        )
    }
}

Then edit the file /etc/lighttpd/lighttpd.conf to include the above config file.

include "conf-enabled/10-ssl.conf"
include "conf-enabled/11-redirect"
include "conf-enabled/15-fastcgi-python.conf"

Add the second line, the same way as the existing 10-ssl.conf and 15-fastcgi-python.conf files.

Now restart the lighttpd server again.

sudo  killall lighttpd
sudo /usr/sbin/lighttpd -f /etc/lighttpd/lighttpd.conf

Now, https://172.10.0.1 will be redirectd to https://router.local without a certificate warning.

Permanently save the cert file configuration for lighttpd

So far, everything works. But one day you reboot your router and find the server certificate is regenerated.
To resolve this issue, we need to save the configuration in a permanent way.

Login to the router by ssh and copy the server.pem file into folder /config/auth/ and run the following command

configure
set service gui cert-file /config/auth/server.pem
commit
save

Run this command to show everything is good:

It will show the following:

 cert-file /config/auth/server.pem
 http-port 80
 https-port 443
 listen-address 172.20.0.1
 older-ciphers disable

By the way, you should always set the listen-address to a local IP address for both services gui and ssh. This will prevent the router from accessing from the public internet, which I see no point Ubiquiti not setting it as a default.

Finally

Conguratulations, you find a perfect solution!

Источник

Понравилась статья? Поделить с друзьями:
  • U3111 код ошибки
  • Ubat мерседес атего ошибка
  • U900 ошибка форд фокус 2
  • U3111 7f ошибка опель зафира
  • Ub 202 ошибка a00