Настройка SSL-сертификата для кластерного АктивногоШлюза: различия между версиями
YaPolkin (обсуждение | вклад) |
ENetrebin (обсуждение | вклад) |
||
| (не показаны 3 промежуточные версии 2 участников) | |||
| Строка 1: | Строка 1: | ||
'''''[[Установка и настройка]] / [https://doc.ruscomtech.ru/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0#.D0.9E.D1.81.D0.BD.D0.BE.D0.B2.D0.BD.D1.8B.D0.B5_.D1.8D.D0.BB.D0.B5.D0.BC.D0.B5.D0.BD.D1.82.D1.8B_.D0.9A.D0.BB.D1.8E.D1.87-.D0.90.D1.81.D1.82.D1.80.D0.BE.D0.BC Основные элементы Ключ-Астром] / [[Ключ-АСТРОМ Managed]] / [https://doc.ruscomtech.ru/index.php/%D0%9A%D0%BB%D1%8E%D1%87-%D0%90%D0%A1%D0%A2%D0%A0%D0%9E%D0%9C_Managed#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0 Установка] / Настройка SSL-сертификата для кластерного АктивногоШлюза''''' | |||
Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса. | |||
* Если вы разрешите | == Возможности настройки домена АктивногоШлюза и SSL-сертификата == | ||
* Если вы не | Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить '''общедоступный IP-адрес для АктивногоШлюза''' и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза. | ||
* Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL. | |||
* Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1. | |||
----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big> | ----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big> | ||
Не пытайтесь настроить SSL-сертификаты непосредственно на свой | Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ. | ||
'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.''' | '''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.''' | ||
---- | ---- | ||
== Настройте | == Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза == | ||
Если вы хотите разрешить | Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров: | ||
* Выберите | * Выберите АктивныйШлюз в разделе '''Состояние развертывания''' > '''АктивныеШлюзы''' и укажите общедоступный IP-адрес для кластерного АктивногоШлюза. | ||
* Для узла кластера в меню | * Для узла кластера в меню Ключ-АСТРОМ выберите '''Настройки''' > '''Общедоступные эндпоинты''' и убедитесь, что включен параметр '''Включить управление доменным именем и сертификатами SSL'''. | ||
== Настройте собственное доменное имя и сертификат для | == Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза == | ||
=== Прежде чем вы начнете === | === Прежде чем вы начнете === | ||
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA): | Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA): | ||
*Сертификат сервера (.cer или .cert) | *Сертификат сервера (<code>.cer</code> или <code>.cert</code>) | ||
*Корневые и промежуточные сертификаты (.cer или .cert) | *Корневые и промежуточные сертификаты (<code>.cer</code> или <code>.cert</code>) | ||
* | *Приватный ключ для сертификатов (<code>.pem</code>) | ||
----<big>''Зашифрованные приватные ключи''</big> | ----<big>''Зашифрованные приватные ключи''</big> | ||
Мы не поддерживаем зашифрованные | Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду: | ||
<code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code> | <code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code> | ||
где | где | ||
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного | *<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного приватного ключа SSL. | ||
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного | *<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного приватного ключа SSL. | ||
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>. | Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>. | ||
---- | ---- | ||
=== Укажите домен и отключите автоматическое управление доменом и сертификатами === | === Укажите домен и отключите автоматическое управление доменом и сертификатами === | ||
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню | Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в '''Настройки''' > '''Общедоступные эндпоинты'''. Затем отключите параметр '''Включить управление доменным именем и сертификатами SSL'''. | ||
Затем укажите свое собственное доменное имя в поле | Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза. | ||
=== Загрузите свой доверенный сертификат === | === Загрузите свой доверенный сертификат === | ||
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в | Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером: | ||
1. Войдите в | 1. Войдите в Ключ-АСТРОМ Managed как администратор. | ||
2. На странице | 2. На странице '''Состояние развертывания''' выберите АктивныйШлюз, который нужно настроить. | ||
3. На странице выбранного | 3. На странице выбранного АктивногоШлюза выберите '''Изменить SSL-сертификат'''. | ||
4. Вы можете вставить или загрузить сертификаты. | 4. Вы можете вставить или загрузить сертификаты. | ||
* | * '''Приватный ключ''': ваш приватный ключ. | ||
* Сертификат | * '''Сертификат публичного ключа''': сертификат вашего сервера. | ||
* Цепочка сертификатов: ваш корневой и промежуточный сертификаты. | * '''Цепочка сертификатов''': ваш корневой и промежуточный сертификаты. | ||
----<big>''Важно''</big> | ----<big>''Важно''</big> | ||
Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END. | Ключ и сертификаты должны быть в формате PEM с полными заголовками <code>BEGIN</code> и <code>END</code>. | ||
Формат верхнего и нижнего колонтитула ключа: | '''Формат верхнего и нижнего колонтитула ключа''': | ||
<code>-----BEGIN PRIVATE KEY-----</code> | <code>-----BEGIN PRIVATE KEY-----</code> | ||
| Строка 70: | Строка 72: | ||
<code>-----END PRIVATE KEY-----</code> | <code>-----END PRIVATE KEY-----</code> | ||
Формат верхнего и нижнего колонтитула сертификата: | '''Формат верхнего и нижнего колонтитула сертификата''': | ||
<code>-----BEGIN CERTIFICATE-----</code> | <code>-----BEGIN CERTIFICATE-----</code> | ||
| Строка 77: | Строка 79: | ||
<code>-----END CERTIFICATE-----</code> | <code>-----END CERTIFICATE-----</code> | ||
----5. Выберите Сохранить, чтобы загрузить сертификаты. | ----5. Выберите '''Сохранить''', чтобы загрузить сертификаты. | ||
----<big>''Избегайте ошибок несоответствия имен''</big> | ----<big>''Избегайте ошибок несоответствия имен''</big> | ||
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле | Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера. | ||
Текущая версия на 15:01, 17 августа 2023
Установка и настройка / Основные элементы Ключ-Астром / Ключ-АСТРОМ Managed / Установка / Настройка SSL-сертификата для кластерного АктивногоШлюза
Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Возможности настройки домена АктивногоШлюза и SSL-сертификата
Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивногоШлюза и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.
- Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
- Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.
Не настраивайте сертификат SSL непосредственно на устройстве
Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.
Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.
Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза
Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
- Выберите АктивныйШлюз в разделе Состояние развертывания > АктивныеШлюзы и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
- Для узла кластера в меню Ключ-АСТРОМ выберите Настройки > Общедоступные эндпоинты и убедитесь, что включен параметр Включить управление доменным именем и сертификатами SSL.
Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза
Прежде чем вы начнете
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
- Сертификат сервера (
.cerили.cert) - Корневые и промежуточные сертификаты (
.cerили.cert) - Приватный ключ для сертификатов (
.pem)
Зашифрованные приватные ключи
Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:
openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key
где
encrypted.ssl.key- это имя файла вашего зашифрованного приватного ключа SSL.decrypted.ssl.key- это выходной файл для вашего расшифрованного приватного ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.
Укажите домен и отключите автоматическое управление доменом и сертификатами
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в Настройки > Общедоступные эндпоинты. Затем отключите параметр Включить управление доменным именем и сертификатами SSL.
Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.
Загрузите свой доверенный сертификат
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
1. Войдите в Ключ-АСТРОМ Managed как администратор.
2. На странице Состояние развертывания выберите АктивныйШлюз, который нужно настроить.
3. На странице выбранного АктивногоШлюза выберите Изменить SSL-сертификат.
4. Вы можете вставить или загрузить сертификаты.
- Приватный ключ: ваш приватный ключ.
- Сертификат публичного ключа: сертификат вашего сервера.
- Цепочка сертификатов: ваш корневой и промежуточный сертификаты.
Важно
Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.
Формат верхнего и нижнего колонтитула ключа:
-----BEGIN PRIVATE KEY-----
(Private Key)
-----END PRIVATE KEY-----
Формат верхнего и нижнего колонтитула сертификата:
-----BEGIN CERTIFICATE-----
(SSL Certificate)
-----END CERTIFICATE-----
5. Выберите Сохранить, чтобы загрузить сертификаты.
Избегайте ошибок несоответствия имен
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера.
