ER-X 証明書設定備忘録です.
はじめに
Ubiquiti の ER-X は,GUI(Web)インターフェースを持っており,そこで簡単な設定を行ったり,通信量がどの程度かを見ることができます.しかし,証明書が独自なので,当然,見に行くとブラウザから警告を食らってしまいます.
いちおうセキュリティ関連機器なのに,毎回警告されるのはチョットどうかと思うので,証明書を入れ換えることにしました.ただし,私の場合は,
で立ち上げた個人的な認証局で署名したものです.ER-X をネットに公開すれば,Let’s Encrypt を使い,
のように,無償できちんとした証明書に対応させることも出来るようです.
証明書の作成
まず,ER-X 用の秘密鍵と証明書をつくる必要がありますが,これは,
の「サーバー証明書の発行」節をご覧ください.これで,
- newkey.pem (秘密鍵)
- newreq.pem (証明書要求)
- newcert.pem (証明書)
が出来ます.次に,newkey.pem から,
# openssl rsa -in newkey.pem -out newkey.pem
のようにパスワードを削除し,さらに,newcert.pem の
-----BEGIN CERTIFICATE----- AAAAAAAA -----END CERTIFICATE-----
の部分以外を削除します(これをかならずやらないといけないかどうかは確かめてない).さらに,newkey.pem と newcert.pem を
# cat newcert.pem >> newkey.pem
のように結合して,ファイル名を server.pem のように変え,証明書の準備完了です.
上記の様に秘密鍵と証明書をまとめないといけないのは,どうも ER-X の Web サーバーが lighttpd だからようです.この辺りの詳細は,
を参照してください.
ER-X での作業
lighttpd だと標準的には /etc/lighttpd 以下に設定ファイルと証明書を配置するようですが,出来上がった server.pem ファイルを scp を使うか vi で作るかして,
/config/auth/server.pem
に配置し,以下の通り有効にします.
$ chown root.vyattacfg /config/auth/server.pem $ chmod 400 /config/auth/server.pem $ configure # set service gui cert-file /config/auth/server.pem # commit
commit の時点で,lighttpd の再起動がかかり,以後,新しい証明書が使われます.
証明書の作り方を間違っている場合は,commit の時点でエラーが出ます.このときは,
# set service gui cert-file /etc/lighttpd/server.pem # commit
の様にして,元の証明書に戻せば少なくとも Web インターフェースにアクセスできなくなることはありません.
おわりに
この手順,冒頭に挙げた
を見ながら実行したのですが,なぜだか,Ubiquiti のマニュアルや Howto には手順が示されていません.また,フォーラムには /etc/lighttpd 内のファイルを直接入れ換える手順が示されています.
見ての通り,専用のコマンドがあるくらいですし,/conf/auth というディレクトリも初めから用意されています.なのに標準的な解説がないのはどうかと思うんですが…….まぁ,安いし,自分で試行錯誤してくれって事なんですかね.実質中身は linux ですしね.
以上!
