Der UniFi-Controller nutzt standardmäßig ein selbstsigniertes Zertifikat. Möchte man dies, gegen ein eigenes Zertifiakt, der eigenen PKI, tauschen, muss dies in den Keystore der Tomcat-Installation importiert werden.
In dieser Beschreibung, gehe ich davon aus, dass bereits ein Private-Key (private.key) und Zertifkat (unifi.crt) existieren. Sinnvoll ist die komplette Zertifikatskette zu integrieren (intermediate.crt)
Erstellen des Schlüsselpaars
Private-Key, Zertifikat und alle Zwsichenzertifikate müssen zusammen in das PKCS#12 Format gebracht werden. („<OwnPassword>“ bitte durch eigenes Passwort ersetzten)
openssl pkcs12 -export -in unifi.crt -inkey private.key -out unifi.p12 -CAfile "intermediate.crt" -password <OwnPassword>
Anschließend liegt alles als File „unifi.p12“ bereit.
Erstellen des Keystores
Dieses File kann nun in den Keystore importiert werden. Der einfachste Weg für Windowsuser und Mausschubser ist über das Tool Keystore Explorer.
Nach dem Starten der Anwendung, muss ein neuer Schlüsselspeicher erstellt werden.
Als Typ muss „JKS“ ausgewählt werden
Anschließend kann über „Werkzeuge“ –> „Schlüsselpaar importieren“ das P12-File geladen werden
Hier muss ebenfalls das, vorher gesetzte Passwort, eigegeben werden.
Nun muss ein Alias für das Schlüsselpaar vergeben werden. Im Netz gibt es dazu unterschiedliche Infos. Entweder „unifi“ oder „aircontrolenterprise“. Ich selbst habe es bisher nur mit „aircontrolenterprise“ als Alias versucht und damit keine Probleme gehabt.
Um den Import abzuschließen, muss zu guter letzt noch ein Passwort vergeben werden. Hier scheint es wichtig zu sein, dass dies auf „aircontrolenterprise“ gesetzt wird.
Nach erfolgreichen Import des Schlüsselpaars kann dies als Keystore abgespeichert werden. Wichtig ist hier, dass wieder das Passwort des Schlüsselspeichers auf „aircontrolenterprise“ zu setzten und das File unter den Namen „keystore“ abzuspeichern.
Backup des bestehenden Keystore
Dafür verbinden wir uns via SSH zu dem UniFi-Controller und erstellen eine Kopie des Keystore-Files
cp /var/lib/unifi/keystore /var/lib/unifi/keystore.bak
Austausch Keystore und Restart UniFi-Controller
Zu guter Letzt laden wir das erstellte Keystore-File auf den Server, auf dem der UniFi-Controller installiert ist und ersetzten das bestehende Keystore-File.
Ist der Keystore ersetzt, muss der UniFi-Service nur noch neu gestartet werden.
systemctl restart unifi