Настройка SSL-сертификата для кластерного АктивногоШлюза: различия между версиями

Материал из Документация Ключ-АСТРОМ
Строка 1: Строка 1:
Связь с Cluster ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Связь с Cluster АктивныйШлюз возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.


== Возможности настройки домена ActiveGate и SSL-сертификата ==
== Возможности настройки домена АктивныйШлюз и SSL-сертификата ==
Первоначально после установки Cluster ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить общедоступный IP-адрес для ActiveGate и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate.
Первоначально после установки Cluster АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивныйШлюз и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивныйШлюз.


* Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый Cluster ActiveGate с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
* Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый Cluster АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
* Если вы не разрешаете Dynatrace генерировать сертификаты SSL для ActiveGates, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через Консоль управления кластером или с помощью Cluster REST API v1.
* Если вы не разрешаете Ключ-АСТРОМ генерировать сертификаты SSL для АктивныйШлюзов, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через Консоль управления кластером или с помощью Cluster REST API v1.


----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>
----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>


Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace.
Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.


'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
----
----


== Настройте Dynatrace для управления доменом и сертификатом для Cluster ActiveGate ==
== Настройте Ключ-АСТРОМ для управления доменом и сертификатом для Cluster АктивныйШлюз ==
Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:


* Выберите ActiveGate в разделе «Состояние развертывания»> «ActiveGates» и укажите общедоступный IP-адрес для Cluster ActiveGate.
* Выберите АктивныйШлюз в разделе «Состояние развертывания»> «АктивныйШлюзы» и укажите общедоступный IP-адрес для Cluster АктивныйШлюз.
* Для узла кластера в меню Dynatrace выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».
* Для узла кластера в меню Ключ-АСТРОМ выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».


== Настройте собственное доменное имя и сертификат для Cluster ActiveGate ==
== Настройте собственное доменное имя и сертификат для Cluster АктивныйШлюз ==


=== Прежде чем вы начнете ===
=== Прежде чем вы начнете ===
Строка 40: Строка 40:


=== Укажите домен и отключите автоматическое управление доменом и сертификатами ===
=== Укажите домен и отключите автоматическое управление доменом и сертификатами ===
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL.
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL.


Затем укажите свое собственное доменное имя в поле Cluster ActiveGate URL.
Затем укажите свое собственное доменное имя в поле Cluster АктивныйШлюз URL.


=== Загрузите свой доверенный сертификат ===
=== Загрузите свой доверенный сертификат ===
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster ActiveGate, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster АктивныйШлюз, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:


1. Войдите в Dynatrace Managed как администратор.
1. Войдите в Ключ-АСТРОМ Managed как администратор.


2. На странице «Состояние развертывания» выберите ActiveGate, который нужно настроить.
2. На странице «Состояние развертывания» выберите АктивныйШлюз, который нужно настроить.


3. На странице выбранного ActiveGate выберите Изменить сертификат SSL.
3. На странице выбранного АктивныйШлюз выберите Изменить сертификат SSL.


4. Вы можете вставить или загрузить сертификаты.
4. Вы можете вставить или загрузить сертификаты.

Версия 18:09, 4 декабря 2021

Связь с Cluster АктивныйШлюз возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.

Возможности настройки домена АктивныйШлюз и SSL-сертификата

Первоначально после установки Cluster АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивныйШлюз и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивныйШлюз.

  • Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый Cluster АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
  • Если вы не разрешаете Ключ-АСТРОМ генерировать сертификаты SSL для АктивныйШлюзов, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через Консоль управления кластером или с помощью Cluster REST API v1.

Не настраивайте сертификат SSL непосредственно на устройстве

Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.

Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.


Настройте Ключ-АСТРОМ для управления доменом и сертификатом для Cluster АктивныйШлюз

Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:

  • Выберите АктивныйШлюз в разделе «Состояние развертывания»> «АктивныйШлюзы» и укажите общедоступный IP-адрес для Cluster АктивныйШлюз.
  • Для узла кластера в меню Ключ-АСТРОМ выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».

Настройте собственное доменное имя и сертификат для Cluster АктивныйШлюз

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

  • Сертификат сервера (.cer или .cert)
  • Корневые и промежуточные сертификаты (.cer или .cert)
  • Закрытый ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

  • encrypted.ssl.key - это имя файла вашего зашифрованного закрытого ключа SSL.
  • decrypted.ssl.key - это выходной файл для вашего расшифрованного закрытого ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.


Укажите домен и отключите автоматическое управление доменом и сертификатами

Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL.

Затем укажите свое собственное доменное имя в поле Cluster АктивныйШлюз URL.

Загрузите свой доверенный сертификат

Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster АктивныйШлюз, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:

1. Войдите в Ключ-АСТРОМ Managed как администратор.

2. На странице «Состояние развертывания» выберите АктивныйШлюз, который нужно настроить.

3. На странице выбранного АктивныйШлюз выберите Изменить сертификат SSL.

4. Вы можете вставить или загрузить сертификаты.

  • Закрытый ключ: ваш закрытый ключ.
  • Сертификат открытого ключа: сертификат вашего сервера.
  • Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----


5. Выберите Сохранить, чтобы загрузить сертификаты.


Избегайте ошибок несоответствия имен

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле Cluster ActivGate URL для узла кластера.