Установка собственного SSL-сертификата для ноды кластера: различия между версиями
YaPolkin (обсуждение | вклад) |
ENetrebin (обсуждение | вклад) |
||
(не показаны 2 промежуточные версии 2 участников) | |||
Строка 1: | Строка 1: | ||
'''''[[Установка и настройка]] / [https://doc.ruscomtech.ru/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0#.D0.9E.D1.81.D0.BD.D0.BE.D0.B2.D0.BD.D1.8B.D0.B5_.D1.8D.D0.BB.D0.B5.D0.BC.D0.B5.D0.BD.D1.82.D1.8B_.D0.9A.D0.BB.D1.8E.D1.87-.D0.90.D1.81.D1.82.D1.80.D0.BE.D0.BC Основные элементы Ключ-Астром] / [[Ключ-АСТРОМ Managed]] / [https://doc.ruscomtech.ru/index.php/%D0%9A%D0%BB%D1%8E%D1%87-%D0%90%D0%A1%D0%A2%D0%A0%D0%9E%D0%9C_Managed#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0 Установка] / Установка собственного SSL-сертификата для ноды кластера''''' | |||
Если вы не хотите, чтобы | Пользовательский интерфейс Ключ-АСТРОМ доступен только через зашифрованные HTTPS-соединения. Чтобы обеспечить безопасный доступ и избежать предупреждений браузера, необходимо настроить действующий сертификат SSL. Ключ-АСТРОМ может управлять этим автоматически - каждый кластер получает выделенный веб-домен и доверенный сертификат SSL. Вы можете использовать этот домен для доступа к пользовательскому интерфейсу Ключ-АСТРОМ, не получая предупреждений браузера. | ||
Если вы не хотите, чтобы Ключ-АСТРОМ создавал для вас домен и сертификат SSL, перейдите в «Настройки»> «Настройки» в консоли управления кластером и отключите параметр «Управление именем домена и сертификатами SSL». После этого Ключ-АСТРОМ будет использовать самозаверяющий сертификат SSL. Самозаверяющие сертификаты по умолчанию не являются доверенными - при первой попытке подключения к Ключ-АСТРОМ Managed вы получите предупреждение системы безопасности. Подтвердите это исключение в настройках безопасности вашего браузера. | |||
Чтобы использовать собственный доверенный сертификат SSL, отключите автоматическое управление и следуйте приведенным ниже инструкциям. | Чтобы использовать собственный доверенный сертификат SSL, отключите автоматическое управление и следуйте приведенным ниже инструкциям. | ||
Строка 26: | Строка 28: | ||
----<u>[необязательно]</u> Для установки из командной строки вам необходимо: | ----<u>[необязательно]</u> Для установки из командной строки вам необходимо: | ||
* Сценарий управляемой установки | * Сценарий управляемой установки Ключ-АСТРОМ | ||
* Набор инструментов OpenSSL | * Набор инструментов OpenSSL | ||
== Установите доверенный сертификат на узел кластера | == Установите доверенный сертификат на узел кластера Ключ-АСТРОМ == | ||
Если вы хотите использовать свой собственный сертификат или сертификат, выданный центром сертификации, загрузите или вставьте сертификат в узел кластера | Если вы хотите использовать свой собственный сертификат или сертификат, выданный центром сертификации, загрузите или вставьте сертификат в узел кластера Ключ-АСТРОМ. Вы также можете указать имя хоста, связанное с сертификатом, как часть конфигурации узла Ключ-АСТРОМ Cluster. | ||
1. Войдите в | 1. Войдите в Ключ-АСТРОМ Managed как администратор. | ||
2. На странице состояния управляемого развертывания | 2. На странице состояния управляемого развертывания Ключ-АСТРОМ выберите узел кластера, которому требуется новый сертификат. | ||
3. На странице «Сведения об узле» выберите «Изменить сертификат SSL». | 3. На странице «Сведения об узле» выберите «Изменить сертификат SSL». |
Текущая версия на 14:56, 17 августа 2023
Установка и настройка / Основные элементы Ключ-Астром / Ключ-АСТРОМ Managed / Установка / Установка собственного SSL-сертификата для ноды кластера
Пользовательский интерфейс Ключ-АСТРОМ доступен только через зашифрованные HTTPS-соединения. Чтобы обеспечить безопасный доступ и избежать предупреждений браузера, необходимо настроить действующий сертификат SSL. Ключ-АСТРОМ может управлять этим автоматически - каждый кластер получает выделенный веб-домен и доверенный сертификат SSL. Вы можете использовать этот домен для доступа к пользовательскому интерфейсу Ключ-АСТРОМ, не получая предупреждений браузера.
Если вы не хотите, чтобы Ключ-АСТРОМ создавал для вас домен и сертификат SSL, перейдите в «Настройки»> «Настройки» в консоли управления кластером и отключите параметр «Управление именем домена и сертификатами SSL». После этого Ключ-АСТРОМ будет использовать самозаверяющий сертификат SSL. Самозаверяющие сертификаты по умолчанию не являются доверенными - при первой попытке подключения к Ключ-АСТРОМ Managed вы получите предупреждение системы безопасности. Подтвердите это исключение в настройках безопасности вашего браузера.
Чтобы использовать собственный доверенный сертификат SSL, отключите автоматическое управление и следуйте приведенным ниже инструкциям.
Прежде чем вы начнете
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
- Сертификат сервера (.cer или .cert)
- Корневые и промежуточные сертификаты (.cer или .cert)
- Закрытый ключ для сертификатов (.pem)
Зашифрованные приватные ключи
Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:
openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key
где
encrypted.ssl.key
- это имя файла вашего зашифрованного закрытого ключа SSL.decrypted.ssl.key
- это выходной файл для вашего расшифрованного закрытого ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key
.
[необязательно] Для установки из командной строки вам необходимо:
- Сценарий управляемой установки Ключ-АСТРОМ
- Набор инструментов OpenSSL
Установите доверенный сертификат на узел кластера Ключ-АСТРОМ
Если вы хотите использовать свой собственный сертификат или сертификат, выданный центром сертификации, загрузите или вставьте сертификат в узел кластера Ключ-АСТРОМ. Вы также можете указать имя хоста, связанное с сертификатом, как часть конфигурации узла Ключ-АСТРОМ Cluster.
1. Войдите в Ключ-АСТРОМ Managed как администратор.
2. На странице состояния управляемого развертывания Ключ-АСТРОМ выберите узел кластера, которому требуется новый сертификат.
3. На странице «Сведения об узле» выберите «Изменить сертификат SSL».
Пример страницы редактирования SSL-сертификатов
4. Вы можете вставить или загрузить файлы ключей, полученные от центра сертификации.
- Закрытый ключ: ваш закрытый ключ.
- Сертификат открытого ключа: сертификат вашего сервера.
- Цепочка сертификатов: ваш корневой и промежуточный сертификаты.
Важно
Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.
Формат верхнего и нижнего колонтитула ключа:
-----BEGIN PRIVATE KEY-----
(Private Key)
-----END PRIVATE KEY-----
Формат верхнего и нижнего колонтитула сертификата:
-----BEGIN CERTIFICATE-----
(SSL Certificate)
-----END CERTIFICATE-----
5. Выберите Сохранить, чтобы загрузить сертификаты.
Ошибка несоответствия имени
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (имя домена) в сертификате SSL совпадает с адресом, отображаемым в адресной строке браузера.