Настройка SSL-сертификата для кластерного АктивногоШлюза: различия между версиями

Материал из Документация Ключ-АСТРОМ
(Новая страница: «Связь с Cluster ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи Cl...»)
 
 
(не показано 6 промежуточных версий 2 участников)
Строка 1: Строка 1:
Связь с Cluster ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
'''''[[Установка и настройка]] / [https://doc.ruscomtech.ru/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0#.D0.9E.D1.81.D0.BD.D0.BE.D0.B2.D0.BD.D1.8B.D0.B5_.D1.8D.D0.BB.D0.B5.D0.BC.D0.B5.D0.BD.D1.82.D1.8B_.D0.9A.D0.BB.D1.8E.D1.87-.D0.90.D1.81.D1.82.D1.80.D0.BE.D0.BC Основные элементы Ключ-Астром] / [[Ключ-АСТРОМ Managed]] / [https://doc.ruscomtech.ru/index.php/%D0%9A%D0%BB%D1%8E%D1%87-%D0%90%D0%A1%D0%A2%D0%A0%D0%9E%D0%9C_Managed#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0 Установка] / Настройка SSL-сертификата для кластерного АктивногоШлюза'''''


== Возможности настройки домена ActiveGate и SSL-сертификата ==
Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Первоначально после установки Cluster ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить общедоступный IP-адрес для ActiveGate и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate.


* Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый Cluster ActiveGate с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
== Возможности настройки домена АктивногоШлюза и SSL-сертификата ==
* Если вы не разрешаете Dynatrace генерировать сертификаты SSL для ActiveGates, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через Консоль управления кластером или с помощью Cluster REST API v1.
Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить '''общедоступный IP-адрес для АктивногоШлюза''' и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.
 
* Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
* Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.


----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>
----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>


Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace.
Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.


'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
----
----


== Настройте Dynatrace для управления доменом и сертификатом для Cluster ActiveGate ==
== Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза ==
Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:


* Выберите ActiveGate в разделе «Состояние развертывания»> «ActiveGates» и укажите общедоступный IP-адрес для Cluster ActiveGate.
* Выберите АктивныйШлюз в разделе '''Состояние развертывания''' > '''АктивныеШлюзы''' и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
* Для узла кластера в меню Dynatrace выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».
* Для узла кластера в меню Ключ-АСТРОМ выберите '''Настройки''' > '''Общедоступные эндпоинты''' и убедитесь, что включен параметр '''Включить управление доменным именем и сертификатами SSL'''.


== Настройте собственное доменное имя и сертификат для Cluster ActiveGate ==
== Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза ==


=== Прежде чем вы начнете ===
=== Прежде чем вы начнете ===
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
*Сертификат сервера (<code>.cer</code> или <code>.cert</code>)
*Корневые и промежуточные сертификаты (<code>.cer</code> или <code>.cert</code>)
*Приватный ключ для сертификатов (<code>.pem</code>)
----<big>''Зашифрованные приватные ключи''</big>


* Сертификат сервера (.cer или .cert)
Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:
* Корневые и промежуточные сертификаты (.cer или .cert)
* Закрытый ключ для сертификатов (.pem)


<code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code>
где
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного приватного ключа SSL.
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного приватного ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>.
----
----
=== Укажите домен и отключите автоматическое управление доменом и сертификатами ===
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в '''Настройки''' > '''Общедоступные эндпоинты'''. Затем отключите параметр '''Включить управление доменным именем и сертификатами SSL'''.
Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.
=== Загрузите свой доверенный сертификат ===
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
1. Войдите в Ключ-АСТРОМ Managed как администратор.
2. На странице '''Состояние развертывания''' выберите АктивныйШлюз, который нужно настроить.
3. На странице выбранного АктивногоШлюза выберите '''Изменить SSL-сертификат'''.
4. Вы можете вставить или загрузить сертификаты.
* '''Приватный ключ''': ваш приватный ключ.
* '''Сертификат публичного ключа''': сертификат вашего сервера.
* '''Цепочка сертификатов''': ваш корневой и промежуточный сертификаты.
----<big>''Важно''</big>
Ключ и сертификаты должны быть в формате PEM с полными заголовками <code>BEGIN</code> и <code>END</code>.
'''Формат верхнего и нижнего колонтитула ключа''':
<code>-----BEGIN PRIVATE KEY-----</code>
<code>(Private Key)</code>
<code>-----END PRIVATE KEY-----</code>
'''Формат верхнего и нижнего колонтитула сертификата''':
<code>-----BEGIN CERTIFICATE-----</code>
<code>(SSL Certificate)</code>
<code>-----END CERTIFICATE-----</code>
----5. Выберите '''Сохранить''', чтобы загрузить сертификаты.
----<big>''Избегайте ошибок несоответствия имен''</big>
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера.

Текущая версия на 15:01, 17 августа 2023

Установка и настройка / Основные элементы Ключ-Астром / Ключ-АСТРОМ Managed / Установка / Настройка SSL-сертификата для кластерного АктивногоШлюза

Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.

Возможности настройки домена АктивногоШлюза и SSL-сертификата

Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивногоШлюза и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.

  • Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
  • Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.

Не настраивайте сертификат SSL непосредственно на устройстве

Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.

Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.


Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза

Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:

  • Выберите АктивныйШлюз в разделе Состояние развертывания > АктивныеШлюзы и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
  • Для узла кластера в меню Ключ-АСТРОМ выберите Настройки > Общедоступные эндпоинты и убедитесь, что включен параметр Включить управление доменным именем и сертификатами SSL.

Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

  • Сертификат сервера (.cer или .cert)
  • Корневые и промежуточные сертификаты (.cer или .cert)
  • Приватный ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

  • encrypted.ssl.key - это имя файла вашего зашифрованного приватного ключа SSL.
  • decrypted.ssl.key - это выходной файл для вашего расшифрованного приватного ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.


Укажите домен и отключите автоматическое управление доменом и сертификатами

Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в Настройки > Общедоступные эндпоинты. Затем отключите параметр Включить управление доменным именем и сертификатами SSL.

Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.

Загрузите свой доверенный сертификат

Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:

1. Войдите в Ключ-АСТРОМ Managed как администратор.

2. На странице Состояние развертывания выберите АктивныйШлюз, который нужно настроить.

3. На странице выбранного АктивногоШлюза выберите Изменить SSL-сертификат.

4. Вы можете вставить или загрузить сертификаты.

  • Приватный ключ: ваш приватный ключ.
  • Сертификат публичного ключа: сертификат вашего сервера.
  • Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----


5. Выберите Сохранить, чтобы загрузить сертификаты.


Избегайте ошибок несоответствия имен

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера.