ER-X 証明書設定備忘録

Gadget
Photo by hyt.

ER-X 証明書設定備忘録です.

はじめに

Ubiquiti の ER-X は,GUI(Web)インターフェースを持っており,そこで簡単な設定を行ったり,通信量がどの程度かを見ることができます.しかし,証明書が独自なので,当然,見に行くとブラウザから警告を食らってしまいます.

いちおうセキュリティ関連機器なのに,毎回警告されるのはチョットどうかと思うので,証明書を入れ換えることにしました.ただし,私の場合は,

ローカルな認証局 を CentOS7 で作り,運用する備忘録
ローカルな認証局 を CentOS7 で作る備忘録です.はじめに早いもので,から2年経ち,使っていた証明書の期限が迫ってきました.もちろん証明書を更新しないといけないのですが,以前使っていた Windows 2012 の認証局は廃止してしま...

で立ち上げた個人的な認証局で署名したものです.ER-X をネットに公開すれば,Let’s Encrypt を使い,

GitHub - j-c-m/ubnt-letsencrypt: Let's Encrypt setup instructions for Ubiquiti EdgeRouter
Let's Encrypt setup instructions for Ubiquiti EdgeRouter - j-c-m/ubnt-letsencrypt

のように,無償できちんとした証明書に対応させることも出来るようです.

証明書の作成

まず,ER-X 用の秘密鍵と証明書をつくる必要がありますが,これは,

ローカルな認証局 を CentOS7 で作り,運用する備忘録
ローカルな認証局 を CentOS7 で作る備忘録です.はじめに早いもので,から2年経ち,使っていた証明書の期限が迫ってきました.もちろん証明書を更新しないといけないのですが,以前使っていた Windows 2012 の認証局は廃止してしま...

の「サーバー証明書の発行」節をご覧ください.これで,

  • newkey.pem (秘密鍵)
  • newreq.pem (証明書要求)
  • newcert.pem (証明書)

が出来ます.次に,newkey.pem から,

# openssl rsa -in newkey.pem -out newkey.pem

のようにパスワードを削除し,さらに,newcert.pem の

-----BEGIN CERTIFICATE-----
AAAAAAAA
-----END CERTIFICATE-----

の部分以外を削除します(これをかならずやらないといけないかどうかは確かめてない).さらに,newkey.pem と newcert.pem を

# cat newcert.pem >> newkey.pem

のように結合して,ファイル名を server.pem のように変え,証明書の準備完了です.

上記の様に秘密鍵と証明書をまとめないといけないのは,どうも ER-X の Web サーバーが lighttpd だからようです.この辺りの詳細は,

cspssl.jp - このウェブサイトは販売用です! - cspssl リソースおよび情報
このウェブサイトは販売用です! cspssl.jp は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、cspssl.jpが全てとなります。あなたがお探しの内容が見つかることを願っています!

を参照してください.

ER-X での作業

lighttpd だと標準的には /etc/lighttpd 以下に設定ファイルと証明書を配置するようですが,出来上がった server.pem ファイルを scp を使うか vi で作るかして,

/config/auth/server.pem

に配置し,以下の通り有効にします.

$ chown root.vyattacfg /config/auth/server.pem
$ chmod 400 /config/auth/server.pem
$ configure
# set service gui cert-file /config/auth/server.pem
# commit

commit の時点で,lighttpd の再起動がかかり,以後,新しい証明書が使われます.

証明書の作り方を間違っている場合は,commit の時点でエラーが出ます.このときは,

# set service gui cert-file /etc/lighttpd/server.pem
# commit

の様にして,元の証明書に戻せば少なくとも Web インターフェースにアクセスできなくなることはありません.

おわりに

この手順,冒頭に挙げた

GitHub - j-c-m/ubnt-letsencrypt: Let's Encrypt setup instructions for Ubiquiti EdgeRouter
Let's Encrypt setup instructions for Ubiquiti EdgeRouter - j-c-m/ubnt-letsencrypt

を見ながら実行したのですが,なぜだか,Ubiquiti のマニュアルや Howto には手順が示されていません.また,フォーラムには /etc/lighttpd 内のファイルを直接入れ換える手順が示されています.

見ての通り,専用のコマンドがあるくらいですし,/conf/auth というディレクトリも初めから用意されています.なのに標準的な解説がないのはどうかと思うんですが…….まぁ,安いし,自分で試行錯誤してくれって事なんですかね.実質中身は linux ですしね.

以上!

GadgetServer
スポンサーリンク
Following hyt!
タイトルとURLをコピーしました