ម៉ាស៊ីន Unifi Dream (UDM) តំណាងឱ្យការធ្វើឡើងវិញចុងក្រោយបំផុតនៃផ្នែករឹងគ្រប់គ្រងបណ្តាញដែលបង្កើតឡើងដោយ UniFi ។ ជាធម្មតាវាត្រូវបានបំពាក់ដោយប្រព័ន្ធប្រតិបត្តិការ UniFi ដែលជាកំណែនៃប្រព័ន្ធប្រតិបត្តិការលីនុចដែលមានមូលដ្ឋានលើដេបៀន។ មានបំរែបំរួលពីរដែលអាចប្រើបាន៖ UDM-base ដែលសំខាន់គឺការកែប្រែឧបករណ៍បញ្ជា UniFi ចាស់ៗ និង UDM-Pro ដែលបង្ហាញពីចំណុចប្រទាក់ក្រាហ្វិកផ្ទាល់ខ្លួនសម្រាប់ភាពងាយស្រួលក្នុងការប្រើប្រាស់។
ការតម្លើង SSL លើ UDM-base
ឯកសារផ្លូវការសម្រាប់ UniFi ឧបករណ៍បញ្ជារួមបញ្ចូលវិធីសាស្រ្តមួយក្នុងការដំឡើង SSL ។ វិធីសាស្រ្តនេះគឺសាមញ្ញទាក់ទង; ទោះយ៉ាងណាក៏ដោយ មានបញ្ហាទូទៅដែលពាក់ព័ន្ធនឹងសារកំហុស ដែលមិនបង្ហាញពីឫសគល់ពិតប្រាកដ។
មគ្គុទ្ទេសក៍នេះរៀបរាប់អំពីវិធីសាស្រ្តដំឡើងជំនួសផ្សេងៗ បង្ហាញពីរបៀបជួសជុលកំហុសទូទៅ និងផ្តល់នូវគន្លឹះបង្កើនសុវត្ថិភាពដែលមានប្រយោជន៍។
ចំណាំសំខាន់៖ ពេលខ្លះ វិញ្ញាបនបត្រលំនាំដើមនៅលើ Server អាចត្រូវបានប្រើប្រាស់ជំនួសឲ្យវិញ្ញាបនបត្រដែលអ្នកបានដំឡើង ដែលអាចបណ្តាលឱ្យមានការព្រមានអំពីសុវត្ថិភាពនៅក្នុងកម្មវិធីរុករកតាមអ៊ីនធឺណិត។ ដើម្បីជៀសវាងបញ្ហានេះ មិនថាអ្នកប្រើវិធីដំឡើងបែបណានោះទេ សូមបំពេញជំហានខាងក្រោមជាមុនសិន៖
- ភ្ជាប់ទៅ UniFi ។
- បញ្ឈប់ឧបករណ៍បញ្ជា UniFi ដោយដំណើរការ៖
unifi-os stop - លុប symbolic link ទៅឯកសារវិញ្ញាបនបត្រលំនាំដើម ហើយចម្លងឯកសារវិញ្ញាបនបត្រពិតប្រាកដតាមរយៈ៖
rm /usr/lib/unifi/data/keystore && cp /etc/ssl/private/unifi.keystore.jks /usr/lib/unifi/data/keystore - Comment out ឬលុបបន្ទាត់ខាងក្រោមក្នុង /etc/default/unifi
UNIFI_SSL_KEYSTORE=/etc/ssl/private/unifi.keystore.jks - ចាប់ផ្តើមឧបករណ៍បញ្ជា UniFI ឡើងវិញដោយប្រើពាក្យបញ្ជានេះ៖
unifi-os restart - បន្តការដំឡើង SSL ដោយប្រើវិធីមួយក្នុងចំណោមវិធីខាងក្រោម
សូមចំណាំថាផ្នែក /etc/ssl/private/unifi.keystore.jks គួរតែត្រូវបានជំនួសដោយផ្លូវទៅកាន់ Keystore ថ្មីរបស់អ្នក ដែលឯកសារវិញ្ញាបនបត្រថ្មីស្ថិតនៅ។
FURTHER READING: |
| 1. ការដំឡើងវិញ្ញាបនប័ត្រ SSL នៅក្នុង CWP 7 |
| 2. ការដំឡើងវិញ្ញាបនបត្រ SSL នៅលើ XAMPP |
| 3. ការដំឡើងវិញ្ញាបនបត្រ SSL នៅលើ Citrix NetScaler VPX |
វិធីសាស្រ្តស្តង់ដារជាមួយ ace.jar
វិធីសាស្រ្តនេះត្រូវបានណែនាំជាទូទៅ ទោះបីជាវាមានលក្ខណៈពិសេសមួយចំនួនក៏ដោយ ដូច្នេះវាមិនតែងតែគួរឱ្យទុកចិត្តបំផុតនោះទេ។
វិញ្ញាបនបត្រគួរតែត្រូវបានដំឡើងនៅក្នុង Folder ដែល CSR code ត្រូវបានបង្កើតឡើង. អនុវត្តតាមជំហានខាងក្រោមដើម្បីបញ្ចប់ការដំឡើង SSL ដោយប្រើ ace.jar:
1) ភ្ជាប់ទៅ Server របស់អ្នកតាមរយៈប្រអប់បញ្ចូលពាក្យបញ្ជា។
- នៅលើ Server ដែលមានមូលដ្ឋានលើ Linux ឬប្រព័ន្ធប្រតិបត្តិការ Windows អ្នកអាចប្រើ Putty ឬកម្មវិធីស្រដៀងគ្នា។
- នៅលើ MacOS សូមដំណើរការកម្មវិធី Terminal ។
- នៅលើ Windows server ដំណើរការ cmd or PowerShell (ភ្ជាប់តាមរយៈ Remote Desktop ប្រសិនបើចាំបាច់) ។
សំខាន់៖ ត្រូវប្រាកដថាចាប់ផ្តើមកម្មវិធី ជាមួយ administrator rights នៅលើ Windows ។ ដើម្បីធ្វើដូចនេះចុចខាងស្តាំលើរូបតំណាងកម្មវិធីហើយជ្រើសរើស Run as administrator ជម្រើសឬធ្វើវាតាមវិធីនេះ៖
Properties >> Compatibility >> សម្គាល់ Run this program as an administrator >> OK.
នៅលើ Linux/MacOS អ្នកគួរតែមាន ជា root or sudo ការចូលប្រើរបស់អ្នកប្រើប្រាស់។ សម្រាប់ការនេះ រត់ពាក្យបញ្ជាខាងក្រោម៖
sudo su -
2) ដើម្បីចាប់ផ្តើមការដំឡើង សូមបើក UniFi shell ដើម្បីចូលប្រើឯកសារ UDM៖
unifi-os shell
3) ទៅកាន់ថតឯកសារសំខាន់ UDM-base ដោយដំណើរការ៖
cd /usr/lib/unifi/
4) ផ្ទុកឡើងឯកសារខាងក្រោមពីបណ្ណសារ SSL ដែលអ្នកបានទទួលនៅក្នុងថតឯកសារមូលដ្ឋាន UniFi៖
- វិញ្ញាបនបត្រសុវត្ថិភាព file ជា PEM format ( .crt ឯកសារដែលទទួលបានពីអាជ្ញាធរវិញ្ញាបនបត្រ);
- វិញ្ញាបនបត្រឫសគល់;
- វិញ្ញាបនបត្រកម្រិតមធ្យម។
ប្រើពាក្យបញ្ជាខាងក្រោម៖
java -jar lib/ace.jar import_cert *your certificate*.crt SectigoRSADomainValidationSecureServerCA.crt USERTrustRSAAddTrustCA.crt addtrustexternalcaroot.crt
កន្លែងដែល *your certificate* ត្រូវបានជំនួសដោយឈ្មោះឯកសារពិតប្រាកដរបស់អ្នក។
ប្រសិនបើអ្នកបានទទួលវិញ្ញាបនបត្រ intermediate និង root នៅក្នុងឯកសារដែលបានបាច់មួយ (.ca-bundle).
ចំណាំ: ថាពាក្យបញ្ជាឧទាហរណ៍ខាងលើមានវិញ្ញាបនបត្រកម្រិត intermediate សម្រាប់ប្រភេទស្តង់ដារ SSL Domain Validation ។
5) បន្ទាប់ពីអ្នកដំណើរការពាក្យបញ្ជា UniFi នឹងសួរអ្នកឱ្យបញ្ចូលពាក្យសម្ងាត់ keystore ។ ប្រើ “សហគ្រាសគ្រប់គ្រងអាកាស” (លុះត្រាតែអ្នកផ្លាស់ប្តូរវាដោយដៃនៅក្នុងការកំណត់ UniFi របស់អ្នក) ហើយបញ្ជាក់ការនាំចូលវិញ្ញាបនបត្រ។
ទុកក្នុងចិត្ត ដែលកំណែ Server មួយចំនួនអាចតម្រូវឱ្យកញ្ចប់ CA ទាំងមូលត្រូវបានផ្ទុកឡើងជាឯកសារតែមួយ។ ក្នុងករណីបែបនេះ អ្នកអាចទាញយកកញ្ចប់ដែលត្រូវគ្នាតាមការណែនាំ និងប្រើពាក្យបញ្ជាខាងក្រោម៖
java -jar lib/ace.jar import_cert *your certificate*.crt bundle.crt
6) ចាប់ផ្តើម UDM-base ឡើងវិញ ដើម្បីអនុវត្តការផ្លាស់ប្តូរ៖
unifi-os restart
អ្នកអាចពិនិត្យមើលការដំឡើង នៅទីនេះ.
សំខាន់៖ មានកំហុសដែលគេស្គាល់នៅលើកំណែ UniFi ទំនើបទូទៅមួយចំនួន៖ បន្ទាប់ពីនាំចូលឯកសារទៅ Server កំហុស "មិនអាចនាំចូលវិញ្ញាបនបត្រទៅឃ្លាំងសម្ងាត់បានទេ។"លេចឡើង។
នេះគឺដោយសារតែនៅលើកំណែ UniFi មួយចំនួន ace.jar មិនអាចញែកខ្សែអក្សរថ្មីបានទេ (\n) និមិត្តសញ្ញា។
នៅលើ Linux និង MacOS បញ្ហានេះអាចត្រូវបានដោះស្រាយដោយការដកនិមិត្តសញ្ញាទាំងនេះចេញដោយប្រើពាក្យបញ្ជាសាមញ្ញមួយ៖
tr -d ‘\n\r’ < *file name* > *temporary file name* && mv *temporary file name* *file name*
ជាដំណោះស្រាយ៖ ជំនួស *file name* ជាមួយឈ្មោះពិតនៃឯកសារដែលត្រូវការ។ អនុវត្តពាក្យបញ្ជាទៅវិញ្ញាបនបត្ររបស់អ្នក ទៅ intermediate certificates, នឹង root certificate នីមួយៗ.
តម្លៃ *temporary file name* ត្រូវបានទាមទារជាឯកសារបណ្តោះអាសន្ន ពីព្រោះពាក្យបញ្ជាមិនអនុញ្ញាតឱ្យវារក្សាទុកមាតិកាដែលបានកែប្រែនៅក្នុងឯកសារតែមួយដោយផ្ទាល់ទេ។ ដូច្នេះហើយ ចាំបាច់ត្រូវរក្សាទុកវានៅកន្លែងបណ្ដោះអាសន្ន ហើយបន្ទាប់មកជំនួសកន្លែងចាស់។
ជាជម្រើសអ្នកអាចប្រើពាក្យបញ្ជានេះ៖
tr -d ‘\n\r’ < *file name* | echo $(cat -) > *file name*
នៅលើ Windows ឯកសារវិញ្ញាបនបត្រអាចត្រូវបានជួសជុលដោយប្រើ Notepad ++:
- បើកឯកសារដោយប្រើកម្មវិធីនិពន្ធអត្ថបទ។
- ចុច ctrl + F ហើយចូលទៅកាន់ផ្ទាំង Replace.
- សម្គាល់ជម្រើស Extended ដើម្បីជំនួសនិមិត្តសញ្ញាសេវាកម្ម។
- វាយបញ្ចូល \n នៅក្នុងទម្រង់ហើយចុច Replace All.
- ធ្វើម្តងទៀតជាមួយប៉ារ៉ាម៉ែត្រ \r.
- រក្សាទុកឯកសារ។
ការដំឡើងដោយប្រើឧបករណ៍ keytool
ជម្រើសនេះមិនមានបញ្ហាក្នុងការញែក និងអនុញ្ញាតឱ្យមានភាពបត់បែនមួយចំនួន។ ការនាំចូលដោយប្រើឧបករណ៍ keytool គឺស្រដៀងនឹង ការដំឡើងនៅលើ Tomcat server.
ការទាញចូល PKCS7
នៅខាងក្នុង keystore ទាញចូលឯកសារក្នុងទម្រង់ PKCS#7 (ជាមួយ a .p7b or .cer extension) ។
អនុវត្តតាម ជំហាន ១-៣ នៅក្នុងវិធីសាស្ត្រ ace.jar ស្តង់ដារ។
រក្សាទុកវិញ្ញាបនបត្រ Private Key ទៅកាន់ /data/keystore file នៅក្នុង UniFi Keystore លំនាំដើមបន្ទាប់ពីអ្នក បង្កើត CSR code.
4) ផ្ទុកឡើង security certificate file បណ្ណសារ SSL ដែលអ្នកបានទទួលពី CA ក្នុងទម្រង់ PKCS#7 (.cer ឬ .p7b) ទៅកាន់ថតឯកសារមូលដ្ឋាន UniFi ។
5) ដើម្បីនាំចូលឯកសារដែលបានផ្ទុកឡើងទៅក្នុង keystore សូមដំណើរការ៖
keytool -import -trustcacerts -alias unifi -file *your certificate*.p7b -keystore /data/keystore
បញ្ចូលពាក្យសម្ងាត់ keystore “សហគ្រាសគ្រប់គ្រងអាកាស” (លុះត្រាតែវាត្រូវបានផ្លាស់ប្តូរនៅក្នុងការកំណត់ UniFi របស់អ្នក) ហើយចុច Enter ដើម្បីបញ្ចប់ការនាំចូល។
6) ចាប់ផ្ដើម UDM-base ឡើងវិញ ដើម្បីអនុវត្តការផ្លាស់ប្តូរ៖
unifi-os restart
ហើយឥឡូវនេះអ្នករួចរាល់ហើយ! អ្នកអាចពិនិត្យមើលការដំឡើង នៅទីនេះ.
សម្គាល់៖ អ្នកអាចទទួលបានកំហុស “Input not an X.509 certificate” នៅពេលនាំចូល SSL ក្នុងទម្រង់ PKCS#7។ វាអាចទាក់ទងនឹងខ្សែអក្សរទទេបន្ថែមនៅក្នុងឯកសារ ឬបញ្ហាការធ្វើទ្រង់ទ្រាយផ្សេងទៀត។ ប្រសិនបើការកែសម្រួលឯកសារនៅក្នុងកម្មវិធី Text Editor មិនអាចជួយបាន ការនាំចូល SSL ជាឯកសារ PEM គឺល្អបំផុត។
នៅលើ Windows អ្នកក៏អាចប្រើដំណោះស្រាយនេះផងដែរ៖
- ផ្លាស់ប្តូរ certificate file extension ទៅ .cer.
- ចុចកណ្ដុរស្ដាំលើឯកសារហើយជ្រើសរើស Install Certificate. បន្តចុចតាមជម្រើសរហូតដល់អ្នករកឃើញទីតាំង Finish ប៊ូតុង។
ជំនួយ៖ នៅក្នុងកម្មវិធីរុករក Internet Explorer សូមចុចលើ Tools >> Internet Options ដើម្បីដំឡើងវា។ - បើក Content ផ្ទាំងហើយចុចលើ Certificates.
- ជ្រើសរើសវិញ្ញាបនបត្ររបស់អ្នកចេញពី Other ផ្ទាំងហើយចុច នាំចេញ.
- ចុច Next.
- ជ្រើសរើស "ស្តង់ដារវាក្យសម្ពន្ធសារគ្រីបតូ – វិញ្ញាបនបត្រ PKCS#7 (.P7B)” ហើយពិនិត្យមើល“រួមបញ្ចូលវិញ្ញាបនបត្រទាំងអស់នៅក្នុងផ្លូវបញ្ជាក់ប្រសិនបើអាច” ប្រអប់។
- ចុច បន្ទាប់ >> រកមើល . បញ្ចូលឈ្មោះឯកសារ និងផ្លូវសម្រាប់ឯកសាររួមបញ្ចូលគ្នាថ្មីដែលត្រូវរក្សាទុក។
ជំនួយ៖ អ្នកអាចរក្សាទុកឯកសារដោយប្រើ .cer extension។ - ចុច Next ហើយបន្ទាប់មក Finish.
- ប្រើឯកសារដែលបានបង្កើតថ្មីនេះ កំឡុងពេលដំឡើងនៅក្នុង Keystore។
ទាញចូលដោយ PEM
ជាជម្រើស អ្នកអាចនាំចូលឯកសារ SSL ជាទម្រង់ PEM (.crt).
ឧទាហរណ៍ខាងក្រោមប្រើឯកសារសម្រាប់ Domain Validation certificate។ ដំណើរការគឺស្រដៀងគ្នាសម្រាប់ប្រភេទ SSL ផ្សេងទៀត។
4) នាំចូល root certificate:
keytool -នាំចូល -trustcacerts -alias root -file addtrustexternalcaroot.crt -keystore /data/keystore
5) នាំចូល intermediate certificates ម្តងមួយៗដោយប្រើឈ្មោះ alias ដាច់ដោយឡែក៖
keytool -import -trustcacerts -alias intermediate2 -file USERTrustRSAAddTrustCA.crt -keystore /data/keystore
keytool -import -trustcacerts -alias intermediate1 -file SectigoRSADomainValidationSecureServerCA.crt -keystore /data/keystore
6) នាំចូល Certificate ពិតប្រាកដជាមួយឈ្មោះ alias Unifi:
keytool -import -trustcacerts -alias unifi -file *your certificate*.crt -keystore /data/keystore
សូមចំណាំ៖ អ្នកត្រូវតែបញ្ចូលពាក្យសម្ងាត់ keystore សម្រាប់ការនាំចូលនីមួយៗ ហើយចុច Enter ដើម្បីបញ្ចប់ដំណើរការ។
ជំនួយ ៖ ដើម្បីជៀសវាងបញ្ហានេះ សូមបន្ថែមអាគុយម៉ង់ -storepass *password* នៅចុងបញ្ចប់នៃពាក្យបញ្ជា។ ជំនួស *password* ជាមួយនឹងពាក្យសម្ងាត់ពិតប្រាកដរបស់អ្នកសម្រាប់ UniFi keystore.
7) ចាប់ផ្តើម UDM-base ឡើងវិញ ដើម្បីអនុវត្តការផ្លាស់ប្តូរ៖
unifi-os restart
ឯកសារគឺដូចគ្នាទៅនឹងវិធីសាស្ត្រដំឡើងស្តង់ដារជាមួយ ace.jar ។
ការនាំចូលឯកសារ PFX តាមរយៈបន្ទាត់ពាក្យបញ្ជា
អ្នកអាចប្រើជម្រើសនេះបានប្រសិនបើ CSR ត្រូវបានបង្កើតនៅកន្លែងផ្សេង ឬ OpenSSL៖ វិធីសាស្រ្តត្រូវបានប្រើជំនួសឱ្យឧបករណ៍ UniFi លំនាំដើមក្នុងអំឡុងពេលដំណើរការ។
ក្នុងករណីនេះ private key (.key) ត្រូវបានបង្កើតដោយឡែកពីគ្នា។ អ្នកត្រូវនាំចូលឯកសារ key ទៅក្នុង keystore រួមជាមួយនឹងវិញ្ញាបនបត្រ (.crt) និង ឯកសារ chain (.ca-bundle ) ។
ជំហាន ១-៣ គឺដូចគ្នាទៅនឹងវិធីសាស្ត្រស្តង់ដារជាមួយ ace.jar។
ប្រសិនបើអ្នក ចូលចិត្តអនុវត្តដំណើរការតាមរយៈបន្ទាត់ពាក្យបញ្ជា សូមអនុវត្តតាមជំហានទាំងនេះ:
4) ផ្ទុកឡើង PEM security certificate file (.crt), និង ឯកសារ chain (.ca-bundle) អ្នកបានទទួលនៅក្នុងប័ណ្ណសារពីអាជ្ញាធរវិញ្ញាបនប័ត្រទៅកាន់ថតឯកសារមូលដ្ឋាន UniFi ។ ផ្លាស់ទីឬផ្ទុកឡើងដែលបានបង្កើតពីមុន private key file ទៅកាន់ folder ដូចគ្នា ដើម្បីភាពងាយស្រួលរបស់អ្នក។
តាមបច្ចេកទេស អ្នកអាចដាក់វានៅក្នុង folder ផ្សេងៗគ្នា។ ប្រសិនបើអ្នកធ្វើ, add the full paths to the files នៅក្នុងពាក្យបញ្ជាក្នុងជំហានខាងក្រោមដែលឯកសារទាំងនេះត្រូវបានប្រើ។
5) បង្កើតឯកសារ PKCS#12 (PFX) ដោយប្រើពាក្យបញ្ជា OpenSSL៖
openssl pkcs12 -នាំចេញ -ចេញ *your certificate*.pfx -inkey *your certificate*.key -in *your certificate*.crt -certfile *your certificate*.ca-bundle -name “unifi”
6) នាំចូលឯកសារ PFX ដែលបានបង្កើតទៅក្នុង keystore៖
keytool -importkeystore -srckeystore *your certificate*.pfx -srcstoretype PKCS12 -destkeystore /data/keystore -deststoretype jks -deststorepass *password*
ជំនួសតម្លៃ *password* ជាមួយនឹងពាក្យសម្ងាត់ពិតប្រាកដរបស់អ្នកសម្រាប់ UniFi keystore ។
7) ចាប់ផ្តើម UDM-base ឡើងវិញ ដើម្បីអនុវត្តការផ្លាស់ប្តូរ៖
unifi-os restart
ប្រសិនបើអ្នក ចូលចិត្តបង្កើត PFX នៅកន្លែងផ្សេង (ឧ. converter tool), ធ្វើដូចខាងក្រោម:
4) បង្កើតឯកសារ PKCS#12 (PFX) ដោយប្រើឧបករណ៍ងាយស្រួលណាមួយ។
5) ផ្ទុកឡើងឯកសារ PFX ទៅ Server ដែលឧបករណ៍បញ្ជា UniFi ត្រូវបានដំឡើង (នៅក្នុងថតឯកសារមូលដ្ឋាន UniFi) ។
6) នាំចូលឯកសារ PFX ដែលបានបង្កើតទៅក្នុង keystore៖
keytool -importkeystore -srckeystore *your certificate*.pfx -srcstoretype pkcs12 -srcalias 1 -destkeystore /data/keystore -deststoretype jks -destalias unifi -deststorepass *password*
សូមចំណាំ៖ សម្រាប់ឯកសារ PFX ដោយគ្មានឈ្មោះ alias ដែលបានកំណត់ 1 ត្រូវបានប្រើជាឈ្មោះ alias លំនាំដើម។ ដូចគ្នានេះផងដែរ, ត្រូវប្រាកដថាអ្នករួមបញ្ចូល - srcalias និង - ការបំផ្លាញ នៅក្នុងពាក្យបញ្ជាដើម្បីជៀសវាងកំហុស "Alias unifi does not exist" ។ តម្លៃ *password* គួរតែត្រូវបានជំនួសដោយពាក្យសម្ងាត់ពិតប្រាកដរបស់អ្នកសម្រាប់ UniFi keystore ។
7) ចាប់ផ្តើម UDM-base ឡើងវិញ ដើម្បីអនុវត្តការផ្លាស់ប្តូរ៖
unifi-os restart
មានឱកាសតិចតួចដែលឈ្មោះ alias លំនាំដើមគឺខុសគ្នា។ ប្រសិនបើអ្នកជួបប្រទះបញ្ហា អ្នកអាចពិនិត្យមើលឈ្មោះ alias ដោយប្រើពាក្យបញ្ជាណាមួយខាងក្រោម៖
openssl pkcs12 -in *your certificate*.pfx -info
keytool -list -storetype pkcs12 -keystore *your certificate*.pfx -v
ការដំឡើង SSL នៅលើ UDM-pro
សម្រាប់ UDM-pro អ្នកគ្រាន់តែត្រូវការជំនួសលំនាំដើម private key និង self-signed certificate ហើយចាប់ផ្តើម UDM ឡើងវិញ។
- ត្រូវប្រាកដថាបើកដំណើរការ Secure Shell (SSH) សម្រាប់ UDM-pro:
Settings >> Network Settings >> Device Authentication >> បើកវា ហើយដំឡើងឈ្មោះអ្នកប្រើ និងពាក្យសម្ងាត់ (ឬបង្កើត access keyដែលជាជម្រើសជំនួសដែលអ្នកនឹងត្រូវបានផ្តល់ជូននៅជំហានចុងក្រោយ)។ - ភ្ជាប់តាមរយៈ SSH ហើយចូលទៅកាន់ configuration folder សម្រាប់ UDM-pro៖
ស៊ីឌី / mnt/data/unifi-os/unifi-core/config/ - រៀបចំឯកសារដំឡើង៖
មានឯកសារពីរនៅក្នុងថតឯកសារ៖unifi-core.crt និង unifi-core.key. ទាំងនេះគឺជា self-signed certificate និង សោឯកជន, រៀងគ្នា។
ដើម្បីដំឡើង SSL ត្រឹមត្រូវ ពួកគេគួរតែត្រូវបានជំនួស certificate ពិតប្រាកដមួយ ដែលបានទទួលពី CA និងឯកសារដែលត្រូវគ្នាជាមួយ Private Key- unifi-core.crt គួរតែមាន វិញ្ញាបនបត្ររបស់អ្នក ( .crt ឯកសារពី CA) រួមបញ្ចូលគ្នាជាមួយ intermediate និង ជា root certificates ( ឯកសារ .ca-bundle ពី CA) ក្នុងឯកសារតែមួយ;
- unifi-core.key គួរតែមាន Private key file.
អ្នកអាចបញ្ចូលគ្នានូវឯកសារ .crt និង .ca-bundle ដែលអ្នកបានទទួលពី CA តាមវិធីជាច្រើន៖ - ផ្ទុកឡើងឯកសារទាំងពីរទៅ /mnt/data/unifi-os/unifi-core/config/ ហើយដំណើរការពាក្យបញ្ជានេះ:
cat example.crt >> unifi-core.crt ; echo >> unifi-core.crt ; cat example.ca-bundle >> unifi-core.crt - ឬបើកឯកសារទាំងពីរដោយប្រើ កម្មវិធី Text Editor ធម្មតាណាមួយ (Notepad, Notepad++, TextEdit, អត្ថបទ) និងបង្កើតការបញ្ចូលគ្នានូវ unifi-core.crt (certificate ដំបូង CA-bundle ខាងក្រោមវា) ឯកសារនៅលើកុំព្យូទ័ររបស់អ្នក ហើយបង្ហោះវាទៅ UDM ។
- ឬចម្លង និងបិទភ្ជាប់ឯកសារទាំងពីរ'; មាតិកាទៅ unifi-core.crt (តាមលំដាប់ដូចខាងលើ៖ certificate ដំបូង CA-បណ្តុំខាងក្រោម)។
ដើម្បីបើកវានៅក្នុងបន្ទាត់ពាក្យបញ្ជា សូមប្រើកម្មវិធី Linux Editor ដែលបានផ្តល់ណាមួយដូច nano or vi (ឧទាហរណ៍ បើក nano unifi-core.crt ).
- នៅពេលដែលឯកសារទាំងពីរត្រូវបានជំនួស សូមចាប់ផ្តើម UDM-pro របស់អ្នកឡើងវិញ៖
unifi-os restart
ការដំឡើង SSL សម្រាប់សេវាកម្ម UniFI មិនផ្អែកលើ UDM ទេ
វិធីសាស្រ្តដំឡើងទាំងអស់ដែលបានពិពណ៌នាសម្រាប់ UDM-base ដំណើរការស្រដៀងគ្នានៅលើកំណែឧបករណ៍បញ្ជា UniFi ចាស់។ ទោះយ៉ាងណាក៏ដោយ វិធីសាស្ត្រមួយចំនួនមិនអាចប្រើសម្រាប់ UDM បានទេ ទោះបីជាវាមានសុពលភាពកាលពីអតីតកាលក៏ដោយ។ ពួកគេត្រូវបានពិពណ៌នាដូចខាងក្រោម។
ការដំឡើងដោយប្រើឧបករណ៍ keytool (សម្រាប់ Windows)
ដំណើរការជាទូទៅគឺដូចគ្នាទៅនឹង Linux ដែរ៖ អ្នកផ្ទុកឯកសារទៅ Server ហើយដំណើរការពាក្យបញ្ជារបស់ឧបករណ៍គន្លឹះដើម្បីដំឡើងពួកវានៅក្នុង Keystore។ ទោះយ៉ាងណាក៏ដោយមានភាពខុសគ្នាមួយ។ មិនដូច Server ដែលមានមូលដ្ឋានលើ Linux ទេ Windows ត្រូវការផ្លូវពេញលេញដែលត្រូវបញ្ជាក់នៅពេលអ្នកកំពុងដំណើរការកម្មវិធី។ ដោយសារតែ keytool.exe ឯកសារវិញ្ញាបនបត្រ និង Keystore អាចមានទីតាំងនៅក្នុង Folder ផ្សេងៗគ្នា ត្រូវប្រាកដថាប្រើផ្លូវពេញលេញ លុះត្រាតែឯកសារស្ថិតនៅក្នុង Folder ដែលអ្នកដំណើរការពាក្យបញ្ជា។
ដើម្បីនាំចូលឯកសារក្នុងទម្រង់ PKCS#7 ដោយដំណើរការពាក្យបញ្ជានេះ៖
“*Java base folder*\bin\keytool.exe” -import -trustcacerts -alias unifi -file *your certificate*.p7b -keystore “C:\Users\*account username*\Ubiquiti UniFi\data\keystore
*Java base folder* ត្រូវបានបញ្ជាក់កំឡុងពេលដំឡើង Java នៅលើ Server។ តាមលំនាំដើមវាគឺជាអ្វីមួយដូចជា “C:\Program Files\Java\*Java version*\”.
ជាជម្រើស ដំណើរការពាក្យបញ្ជាខាងក្រោមដើម្បីប្តូរទៅ Folder តឯកសារមូលដ្ឋាន Java៖
cd *Java base folder*
ហើយបន្ទាប់មកនាំចូលឯកសារដោយដំណើរការ៖
keytool -import -trustcacerts -alias unifi -file “C:\Users\*account username*\Ubiquiti UniFi\* your certificate*.p7b” -keystore “C:\Users\*account username*\Ubiquiti UniFi\data\keystore”
បិទកម្មវិធី UniFi ហើយចាប់ផ្តើមវាម្តងទៀតដោយប្រើរូបតំណាងកម្មវិធី។
ប្រសិនបើ UniFi ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាសេវាកម្ម Windows សូមដំណើរការពាក្យបញ្ជាទាំងនេះ៖
net stop “UniFi Controller”
net start “UniFi Controller”
Certificate ឥឡូវនេះគួរតែត្រូវបានដំឡើង។
ការនាំចូលវិញ្ញាបនបត្រ PEM អាចត្រូវបានអនុវត្តដូចដែលបានពិពណ៌នានៅក្នុងផ្នែក នាំចូល PEM ដោយបញ្ជាក់ផ្លូវពេញលេញទៅកាន់ឯកសារនៅក្នុងពាក្យបញ្ជាទាំងអស់។
ការនាំចូលឯកសារ PFX ដោយប្រើ Keystore Explorer
ចំពោះ វិធីងាយស្រួលបំផុត ដើម្បីនាំចូល PFX នៅលើ UniFi នៅលើ Windows គឺដោយមានជំនួយពី "Keystore Explorer“។ (វាក៏អាចត្រូវបានប្រើសម្រាប់ Linux/Mac OS ទោះបីជាវាស័ក្តិសមបំផុតសម្រាប់ Windows)។
1) បើកឯកសារ keystore បច្ចុប្បន្ននៅក្នុង Keystore Explorer ដោយប្រើពាក្យសម្ងាត់លំនាំដើម "សហគ្រាសគ្រប់គ្រងអាកាសឬឧបករណ៍ដែលប្រើដោយឧបករណ៍បញ្ជា។
ជំនួយ៖ អ្នកអាចបើក system.properties ហើយបន្ថែមពាក្យសម្ងាត់ផ្ទាល់ខ្លួនរបស់អ្នកទៅវា៖
app.keystore.pass=*password*
ឯកសារមានទីតាំងនៅក្នុង data subfolder នៃ Folder មូលដ្ឋាន UniFi ។
2) ជម្រើសនេះតម្រូវឱ្យបង្កើតឯកសារទម្រង់ PFX (PKCS#12) ដោយប្រើវិធីសាស្រ្តណាមួយដែលបានពិពណ៌នានៅក្នុងការដំឡើងវិញ្ញាបនបត្រនៅក្នុងផ្នែកទម្រង់ PFX ឬឧបករណ៍អនឡាញណាមួយ (ឧ. កម្មវិធីបម្លែង).
ជ្រើសរើសពាក្យសម្ងាត់ផ្ទាល់ខ្លួនរបស់អ្នកសម្រាប់ការនេះ។ វាអាចខុសពីពាក្យសម្ងាត់ដែលប្រើនៅក្នុងឧបករណ៍បញ្ជា UniFi ។
3) នៅពេលដែលឯកសារ PFX ត្រូវបានបង្កើត សូមប្តូរទៅ Keystore Explorer ហើយលុបឯកសារ Unifi ។
4) ចុចតាមរយៈ៖ Tools >> Import Key Pair >> PKCS12.
នៅទីនោះ កំណត់ទីតាំងឯកសារ PFX របស់អ្នក ហើយប្រើពាក្យសម្ងាត់ដែលអ្នកបានកំណត់កំឡុងពេលបង្កើតរបស់វា។
5) Key Pair Entry Alias គួរតែត្រូវបានកំណត់ជា Unifi.
6) ផ្តល់ពាក្យសម្ងាត់។ វាគួរតែជាពាក្យសម្ងាត់ keystore ("សហគ្រាសគ្រប់គ្រងអាកាស” លុះត្រាតែវាត្រូវបានផ្លាស់ប្តូរនៅក្នុងការកំណត់ UniFi របស់អ្នក)។
7) រក្សាទុកឯកសារ keystore ដោយប្រើ File >> Save (ឬគ្រាន់តែចុចលើរូបតំណាងដែលទាក់ទង) ។
8) ចាប់ផ្តើមឧបករណ៍បញ្ជាឡើងវិញដើម្បីអនុវត្តការផ្លាស់ប្តូរ។
នៅលើ Linux៖
service unifi restart
នៅលើ Windows, បិទ កម្មវិធី UniFi ហើយ ចាប់ផ្តើម វាម្តងទៀតដោយប្រើរូបតំណាងកម្មវិធី ឬប្រសិនបើ UniFi ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាសេវាកម្ម Windows សូមប្រើពាក្យបញ្ជា៖
net stop “UniFi Controller”
net start “UniFi Controller”
ព្រមាន៖ ពេលខ្លះ Keystore អាចខូចដោយសារការនាំចូលច្រើន។ ប្រសិនបើដំណើរការមិនដំណើរការត្រឹមត្រូវ លុបឯកសារ Keystore ដំបូង និង ចាប់ផ្តើម UniFi ម្តងទៀត ដើម្បីបង្កើតថ្មីមួយ ហើយបន្តការនាំចូល PFX នៅពេលដែលវារួចរាល់។
ការនាំចូលឯកសារ PFX (Windows) តាមរយៈបន្ទាត់ពាក្យបញ្ជា
ដំណើរការនេះគឺស្រដៀងទៅនឹងការដំឡើងនៅលើ Linux។ ឯកសារ PFX អាចត្រូវបានបង្កើតដោយធ្វើដូចខាងក្រោមៈ
- រក្សាទុកទាំងពីរនូវ វិញ្ញាបនបត្រ និង private key files នៅក្នុងថតមួយដោយប្រើឈ្មោះឯកសារដូចគ្នា និង extensions ដែលត្រូវគ្នា: ឧទាហរណ៍.p7b, example.key. ដំណើរការពាក្យបញ្ជានេះនៅក្នុង cmd or PowerShell:
certutil -mergepfx *your certificate*.p7b *your certificate*.pfx
ជាជម្រើសអ្នកអាចដាក់ វិញ្ញាបនបត្រ, private key និង CA-bundle នៅក្នុងថតមួយ ហើយបង្កើតវាជាមួយ OpenSSL៖
*OpenSSL path* pkcs12 -export -out *your certificate*.pfx -inkey *your certificate*.key -in *your certificate*.crt -certfile *your certificate*.ca-bundle -name “unifi”
ផ្លូវ OpenSSL លំនាំដើមនៅលើ Windows (ប្រសិនបើអ្នកបានដំឡើងវា) គឺ “C:\*OpenSSL version*\bin\OpenSSL.exe”. - នាំចូលឯកសារ PFX ដែលបានបង្កើតទៅក្នុង Keystore៖
“*Java base folder*\bin\keytool.exe” -importkeystore -srckeystore *your certificate*.pfx -srcstoretype pkcs12 -srcalias 1 -destkeystore “C:\Users\*account username*\Ubiquiti UniFi\data\keystore” -deststoretype jks -destalias unifi
*Java base folder* ត្រូវបានបញ្ជាក់កំឡុងពេលដំឡើង Java នៅលើ Server ។ តាមលំនាំដើមវាគឺជាអ្វីមួយដូចជា “C:\Program Files\Java\*Java version*\”. - បិទ កម្មវិធី UniFi ហើយ ចាប់ផ្តើម វាម្តងទៀតដោយប្រើរូបតំណាងកម្មវិធី ឬប្រសិនបើ UniFi ត្រូវបានកំណត់រចនាសម្ព័ន្ធជាសេវាកម្ម Windows ដោយមានពាក្យបញ្ជា៖
net stop “UniFi Controller”
net start “UniFi Controller”
ឥឡូវនេះ SSL គួរតែត្រូវបានដំឡើង។
ប្រើប្រាស់ជំនាញ Cloud Computing ដ៏រឹងមាំរបស់ 1Byte ដើម្បីជំរុញអាជីវកម្មរបស់អ្នកតាមរបៀបដ៏ធំមួយ
1Byte ផ្តល់សេវាកម្មចុះឈ្មោះដែនពេញលេញ ដែលរួមមានបុគ្គលិកផ្នែកគាំទ្រ ការថែទាំអតិថិជនដែលមានការអប់រំ ការចំណាយសមរម្យ ក៏ដូចជាឧបករណ៍ស្វែងរកតម្លៃដែន។
បង្កើនសុវត្ថិភាពលើអ៊ីនធឺណិតរបស់អ្នកជាមួយនឹងសេវាកម្ម SSL របស់ 1Byte ។ ការការពារដែលមិនអាចប្រៀបផ្ទឹមបាន ការរួមបញ្ចូលដោយគ្មានថ្នេរ និងសន្តិភាពនៃចិត្តសម្រាប់ដំណើរឌីជីថលរបស់អ្នក។
មិនថា cloud server កញ្ចប់ដែលអ្នកជ្រើសរើស អ្នកអាចពឹងផ្អែកលើ 1Byte សម្រាប់ភាពជឿជាក់ ភាពឯកជន សុវត្ថិភាព និងបទពិសោធន៍គ្មានភាពតានតឹង ដែលមានសារៈសំខាន់សម្រាប់អាជីវកម្មជោគជ័យ។
ការជ្រើសរើសពួកយើងជាអ្នកផ្តល់សេវាបង្ហោះចែករំលែករបស់អ្នកអនុញ្ញាតឱ្យអ្នកទទួលបានតម្លៃដ៏ល្អឥតខ្ចោះសម្រាប់ប្រាក់របស់អ្នក ខណៈពេលដែលរីករាយនឹងកម្រិតគុណភាព និងមុខងារដូចគ្នានឹងជម្រើសដែលមានតម្លៃថ្លៃជាង។
តាមរយៈកម្មវិធីដែលមានភាពបត់បែនខ្ពស់ 1Byte ដ៏ទំនើប cloud hosting ផ្តល់ដំណោះស្រាយដ៏អស្ចារ្យដល់អាជីវកម្មខ្នាតតូច និងមធ្យមលឿនជាងមុន សុវត្ថិភាពជាងមុន និងក្នុងតម្លៃកាត់បន្ថយ។
បន្តនាំមុខការប្រកួតប្រជែងជាមួយនឹងសេវាកម្មបង្ហោះ WordPress ប្រកបដោយភាពច្នៃប្រឌិតរបស់ 1Byte ។ ផែនការដែលសំបូរទៅដោយលក្ខណៈពិសេសរបស់យើង និងភាពជឿជាក់ដែលមិនអាចប្រៀបផ្ទឹមបានធានាថាគេហទំព័ររបស់អ្នកមានភាពលេចធ្លោ និងផ្តល់នូវបទពិសោធន៍អ្នកប្រើប្រាស់ដែលមិនអាចបំភ្លេចបាន។
ក្នុងនាមជាដៃគូ AWS ផ្លូវការ ទំនួលខុសត្រូវចម្បងមួយរបស់យើងគឺជួយអាជីវកម្មក្នុងការធ្វើទំនើបកម្មប្រតិបត្តិការរបស់ពួកគេ និងប្រើប្រាស់ច្រើនបំផុតក្នុងការធ្វើដំណើររបស់ពួកគេទៅកាន់ពពកជាមួយ AWS ។
មុខងារសុវត្ថិភាព Unify SSL
បញ្ជីខាងក្រោមរួមបញ្ចូលលក្ខណៈពិសេសដែលមិនទាក់ទងដោយផ្ទាល់ទៅនឹងការដំឡើង SSL ប៉ុន្តែទាក់ទងទៅនឹងសុវត្ថិភាពគេហទំព័រ និងវិធីផ្សេងគ្នាដើម្បីកំណត់រចនាសម្ព័ន្ធវា។
- វិញ្ញាបនបត្រ ECC នឹងមិនដំណើរការទេ ទោះបីជាឯកសារទាំងនេះអាចត្រូវបាននាំចូលដោយជោគជ័យទៅកាន់ Server ក៏ដោយ។
- Server Name Indication (SNI) មិនត្រូវបានគាំទ្រទេ។
- HTTPS ប្តូរទិស ត្រូវបានបើកនៅលើកំណែថ្មីនៃ UniFi តាមលំនាំដើម។ ចូលប្រើបន្ទះគ្រប់គ្រង UniFi ដោយប្រើតំណ http:// (តាមលំនាំដើម *hostname*:8080 នៅក្នុង system.properties)។ បន្ទាប់មក ប្រសិនបើ SSL ត្រូវបានដំឡើងរួចហើយនៅលើ UniFi អ្នកនឹងត្រូវបានបញ្ជូនបន្តទៅតំណ https:// (តាមលំនាំដើម https://*hostname*:8443)។
ជម្រើសនេះដំណើរការលើកំណែ UniFi ទាំងអស់ដែលចាប់ផ្តើមពី 4.x ។ - HSTS អាចត្រូវបានបើកនៅលើ UniFi នៅក្នុងឯកសារ system.properties ដោយកែប្រែប៉ារ៉ាម៉ែត្រទាំងនេះ៖
unifi.https.hsts=false – កំណត់ទៅ True ដើម្បីបើក HSTS
unifi.https.hsts.max_age=*value* – អ្នកអាចបញ្ជាក់រយៈពេលសម្រាប់រយៈពេលដែល HSTS ត្រូវបាន Cache (គិតជាវិនាទី)
unifi.https.hsts.preload=false – កំណត់ទៅ True លុះត្រាតែអ្នកមិនមានគម្រោងដក HSTS ទេ ព្រោះវានឹងបន្ថែមឈ្មោះម៉ាស៊ីន UniFi របស់អ្នកទៅក្នុងបញ្ជីផ្ទុកជាមុន ការលុបដែលគួរតែត្រូវបានស្នើសុំជាពិសេស។
unifi.https.hsts.subdomain=false – កំណត់ទៅ True ប្រសិនបើអ្នកចង់អនុវត្តគោលការណ៍ HSTS សម្រាប់ដែនរងនៃឈ្មោះដែនរបស់អ្នក ក៏ដូចជាសម្រាប់ឈ្មោះដែនចម្បង
Uncomment លើខ្សែអក្សរដែលត្រូវគ្នា (ដែលបានរៀបរាប់ខាងលើ) រក្សាទុកឯកសារ ហើយចាប់ផ្ដើម UniFi ឡើងវិញ ដើម្បីបញ្ចប់ដំណើរការ។ - បានអនុញ្ញាត ឈុតស៊ីប និង កំណែ SSL/TLS អាចត្រូវបានបើកនៅលើ UniFi នៅក្នុងឯកសារ system.properties ដោយប្រើប៉ារ៉ាម៉ែត្រខាងក្រោម៖
unifi.https.ciphers=cipher1, cipher2, etc. – ជំនួសតម្លៃដោយឈ្មោះ cipher ពិតប្រាកដដែលអ្នកចង់បើក
unifi.https.sslEnabledProtocols=protocol1, protocol2, etc. – ជំនួសតម្លៃដោយឈ្មោះ protocol ពិតប្រាកដដែលអ្នកចង់បើក
Uncomment លើខ្សែអក្សរដែលត្រូវគ្នា (ដែលបានរៀបរាប់ខាងលើ) រក្សាទុកឯកសារ ហើយចាប់ផ្ដើម UniFi ឡើងវិញ ដើម្បីបញ្ចប់ដំណើរការ។
ពិនិត្យការកំណត់រចនាសម្ព័ន្ធល្អបំផុតសម្រាប់ UniFi នៅទីនេះ.