Raspberry PI UniFi Controller mit Lets Encrypt absichern

[Phantom]

Ich habe heute etwas gespielt und dabei mein Controller mit ein SSL Zertifikat versehen.

Was Ihr auf jeden fall benötigt ist entweder eine Dyndns oder eine Domain.

Dann legen wir mal los :smile:

Gebt im UniFi zunächst den Port 80 und 443 frei und leitet diesen weiter zum Controller.

Zunächst benötigen wir nginx als Server und Lets Encrypt. Diesen installieren wir zuerst

root@unifi: sudo apt install nginx certbot

Jetzt müssen wir den Server etwas anpassen

sudo nano /etc/nginx/sites-available/default

Hier tragen wir dann folgendes unter SSL ein

        location ~ /.well-known {
                allow all;
        }

Speichert müsst Ihr es mit F2 und mit Y Enter

Jetzt testet eure Config

sudo nginx -t

Wenn alles passt, dann startet ngnix neu

services ngnix restart

Jetzt erstellen wir unser Zertifikat. deine-domain.com ist in dem fall durch eure Domain zu ersetzen.

sudo certbot certonly -a webroot --webroot-path=/var/www/html -d deine-domain.com

Folge jetzt die Anweisung.

Jetzt erstellen wir die dhparam.pem . ACHTUNG, das wird dauern, seit geduldig :smile:

sudo openssl dhparam -out /etc/ssl/certs/dhparam.pem 2048

Jetzt bearbeiten wir erneut den Server

sudo nano /etc/nginx/sites-available/default

Dort trage dann folgendes ein (deine-Domain.com ist durch die eigene Domain zu ersetzen)

server {
     listen 443 ssl default_server;
     listen [::]:443 ssl default_server;
     ssl on;
      ssl_certificate /etc/letsencrypt/live/deine-Domain.com/fullchain.pem;
     ssl_certificate_key /etc/letsencrypt/live/deine-Domain.com/privkey.pem;

     server_name deine-Domain.com;

location /wss {
    proxy_pass https://localhost:8443$request_uri;
    proxy_http_version 1.1;
    proxy_set_header Upgrade $http_upgrade;
    proxy_set_header Connection "upgrade";
    }

location / {
                proxy_pass https://localhost:8443;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;
        }
}



server {
    listen 80;
    listen [::]:80;

    server_name deine-Domain.com;
        root /var/www/html;
        index index.html;

location /inform {
    proxy_pass http://localhost:8880/inform;
                proxy_set_header Host $host;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forward-For $proxy_add_x_forwarded_for;

}

location ~/.well-known {
allow all;
}

location / {
        return 301 https://deine-Domain.com$request_uri;
    }
}

Du musst Regestriert sein, um das angehängte Bild zusehen.

Die FAQ ist definitiv noch ausbaufähig. Ich habe diese sehr fix erstellt und ngnix auch noch nicht optimiert. Ideen, Vorschläge sind daher willkommen und werden auch in der FAQ übernommen.

 

[hot chili]

Gute Anleitung.

Ich lasse den Synology dafür laufen als Reserve Proxy. Dort ist es recht einfach. Geht auch wenn der Controller auf einem anderen Gerät läuft.

 

[Fr€ds0n]

Ich habe kürzlich einen vergleichbaren Use Case mit "traefik" als Reverse Proxy gelöst.
Damit habe ich auf einen Schlag Zertifikate für den Unifi Controller und viele andere Services in meinem Heimnetzwerk, wie z.B. "

Sie müssen registriert sein, um Links zu sehen.

"

Hier ein gutes Tutorial dazu:

Sie müssen registriert sein, um Links zu sehen.