Como você deve ter notado, seu UDM Pro veio com um certificado auto-assinado, que os navegadores não gostam muito e nem eu. Neste artigo, vamos instalar certificados SSL Let’s Encrypt usando crontab de um dispositivo pfSense. Você pode substituir o pfSense por qualquer outro dispositivo com crontab disponível.
O Sistema Operacional do Unifi não oferece nenhuma configuração incorporada para certificados SSL, então temos que copiá-lo para o dispositivo e substituir os antigos nós mesmos. Para começar, certifique-se de ter acesso SSH ativado em seu UDM Pro e SSH ativados no seu pfSense. Você também precisará de certificados Let’s Encrypts já emitidos para o seu domínio e para isso, vamos usar um o pfSense!
Antes de sujar as mãos no processo de automação, vamos testar a conectividade entre o seu pfSense e o UDM-Pro. Conecte via SSH no pfSense. e uma vez dentro, se conecte via SSH no UDM Pro a partir dele. Você será solicitado a adicionar o dispositivo Unifi à lista de hosts conhecidos; você tem que digitar Sim/Yes e apertar <Enter>. Se você está usando roteadores em cascara com pfSense e UDM Pro, você tem que criar uma regra de firewall no seu UDM Pro para permitir que o SSH trafegue rumo ao pfSense.
Agora que você pfSense e UDM-Pro estão familiarizados, crie uma pasta no UDM Pro para armazenar os certificados que serão enviados pelo crontab do pfSense: executar mkdir -p /root/ssl_from_pfsense. É uma boa ideia fazer backup das chaves originais do UDM Pro copiando-as com um nome diferente. Execute cp /mnt/data/unifi-os/unifi-core/config/unifi-core.crt /mnt/data/unifi-os/unifi-core/config/unifi-core.crt.bkp e cp /mnt/data/unifi-os/unifi-core/config/unifi-core.key /mnt/data/unifi-os/unifi-core/config/unifi-core.key.bkp. Agora você pode sair tanto dos terminais pfSense quanto UDM Pro. Vamos usar a Interface gráfica do pfSense para os próximos passos.
No seu pfSense, você vai precisar de cron instalado. Vá ao Sistema >> Gerenciador de Pacotes >> Pacotes Disponíveis, procure por cron e clique no botão Instalar e termine o processo clicando em Confirmar.
Vamos criar uma tarefa cron que irá copiar e instalar os novos certificados todos os dias do mês às 3 da manhã. No seu pfSense, vá para Serviços >> cron e clique em Adicionar e preencher a nova tarefa da seguinte forma:
- Minuto: 0
- Hora: 3
- Dia do mês: 1
- Mês do ano: *
- Dia da semana: *
- Usuário: root
- Comando: ssh root@<udm_pro_ip> “rm -fv /root/ssl_from_pfsense/*”;scp /conf/acme/<certificate_name>.* root@<udm_pro_ip>:/root/ssl_from_pfsense; ssh root@<udm_pro_ip> “cd /root/ssl_from_pfsense/; cp -fv <certificate_name>.all.pem /mnt/data/unifi-os/unifi-core/config/unifi-core.crt; cp -fv <certificate_name>.key /mnt/data/unifi-os/unifi-core/config/unifi-core.key; /usr/sbin/unifi-os restart”
Certifique-se de substituir <udm_pro_ip> pelo IP UDM Pro na rede pfSense, não pelo IP da rede UDM Pro.
Clique em Salvar e pronto.