Настройка SSL-сертификата для кластерного АктивногоШлюза: различия между версиями
YaPolkin (обсуждение | вклад) (Новая страница: «Связь с Cluster ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи Cl...») |
YaPolkin (обсуждение | вклад) |
||
Строка 24: | Строка 24: | ||
=== Прежде чем вы начнете === | === Прежде чем вы начнете === | ||
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA): | Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA): | ||
*Сертификат сервера (.cer или .cert) | |||
*Корневые и промежуточные сертификаты (.cer или .cert) | |||
*Закрытый ключ для сертификатов (.pem) | |||
----<big>''Зашифрованные приватные ключи''</big> | |||
* | Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду: | ||
* | |||
* Закрытый ключ | <code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code> | ||
где | |||
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного закрытого ключа SSL. | |||
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного закрытого ключа SSL. | |||
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>. | |||
---- | |||
=== Укажите домен и отключите автоматическое управление доменом и сертификатами === | |||
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL. | |||
Затем укажите свое собственное доменное имя в поле Cluster ActiveGate URL. | |||
=== Загрузите свой доверенный сертификат === | |||
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster ActiveGate, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером: | |||
1. Войдите в Dynatrace Managed как администратор. | |||
2. На странице «Состояние развертывания» выберите ActiveGate, который нужно настроить. | |||
3. На странице выбранного ActiveGate выберите Изменить сертификат SSL. | |||
4. Вы можете вставить или загрузить сертификаты. | |||
* Закрытый ключ: ваш закрытый ключ. | |||
* Сертификат открытого ключа: сертификат вашего сервера. | |||
* Цепочка сертификатов: ваш корневой и промежуточный сертификаты. | |||
---- | ---- |
Версия 01:48, 2 декабря 2021
Связь с Cluster ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Возможности настройки домена ActiveGate и SSL-сертификата
Первоначально после установки Cluster ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить общедоступный IP-адрес для ActiveGate и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate.
- Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый Cluster ActiveGate с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
- Если вы не разрешаете Dynatrace генерировать сертификаты SSL для ActiveGates, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через Консоль управления кластером или с помощью Cluster REST API v1.
Не настраивайте сертификат SSL непосредственно на устройстве
Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace.
Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.
Настройте Dynatrace для управления доменом и сертификатом для Cluster ActiveGate
Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
- Выберите ActiveGate в разделе «Состояние развертывания»> «ActiveGates» и укажите общедоступный IP-адрес для Cluster ActiveGate.
- Для узла кластера в меню Dynatrace выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».
Настройте собственное доменное имя и сертификат для Cluster ActiveGate
Прежде чем вы начнете
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
- Сертификат сервера (.cer или .cert)
- Корневые и промежуточные сертификаты (.cer или .cert)
- Закрытый ключ для сертификатов (.pem)
Зашифрованные приватные ключи
Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:
openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key
где
encrypted.ssl.key
- это имя файла вашего зашифрованного закрытого ключа SSL.decrypted.ssl.key
- это выходной файл для вашего расшифрованного закрытого ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key
.
Укажите домен и отключите автоматическое управление доменом и сертификатами
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL.
Затем укажите свое собственное доменное имя в поле Cluster ActiveGate URL.
Загрузите свой доверенный сертификат
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster ActiveGate, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
1. Войдите в Dynatrace Managed как администратор.
2. На странице «Состояние развертывания» выберите ActiveGate, который нужно настроить.
3. На странице выбранного ActiveGate выберите Изменить сертификат SSL.
4. Вы можете вставить или загрузить сертификаты.
- Закрытый ключ: ваш закрытый ключ.
- Сертификат открытого ключа: сертификат вашего сервера.
- Цепочка сертификатов: ваш корневой и промежуточный сертификаты.