Настройка SSL-сертификата для кластерного АктивногоШлюза: различия между версиями
YaPolkin (обсуждение | вклад) |
YaPolkin (обсуждение | вклад) |
||
Строка 1: | Строка 1: | ||
Связь с Cluster | Связь с Cluster АктивныйШлюз возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса. | ||
== Возможности настройки домена | == Возможности настройки домена АктивныйШлюз и SSL-сертификата == | ||
Первоначально после установки Cluster | Первоначально после установки Cluster АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивныйШлюз и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивныйШлюз. | ||
* Если вы разрешите | * Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый Cluster АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL. | ||
* Если вы не разрешаете | * Если вы не разрешаете Ключ-АСТРОМ генерировать сертификаты SSL для АктивныйШлюзов, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через Консоль управления кластером или с помощью Cluster REST API v1. | ||
----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big> | ----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big> | ||
Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster | Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ. | ||
'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.''' | '''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.''' | ||
---- | ---- | ||
== Настройте | == Настройте Ключ-АСТРОМ для управления доменом и сертификатом для Cluster АктивныйШлюз == | ||
Если вы хотите разрешить | Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров: | ||
* Выберите | * Выберите АктивныйШлюз в разделе «Состояние развертывания»> «АктивныйШлюзы» и укажите общедоступный IP-адрес для Cluster АктивныйШлюз. | ||
* Для узла кластера в меню | * Для узла кластера в меню Ключ-АСТРОМ выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL». | ||
== Настройте собственное доменное имя и сертификат для Cluster | == Настройте собственное доменное имя и сертификат для Cluster АктивныйШлюз == | ||
=== Прежде чем вы начнете === | === Прежде чем вы начнете === | ||
Строка 40: | Строка 40: | ||
=== Укажите домен и отключите автоматическое управление доменом и сертификатами === | === Укажите домен и отключите автоматическое управление доменом и сертификатами === | ||
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню | Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL. | ||
Затем укажите свое собственное доменное имя в поле Cluster | Затем укажите свое собственное доменное имя в поле Cluster АктивныйШлюз URL. | ||
=== Загрузите свой доверенный сертификат === | === Загрузите свой доверенный сертификат === | ||
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster | Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster АктивныйШлюз, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером: | ||
1. Войдите в | 1. Войдите в Ключ-АСТРОМ Managed как администратор. | ||
2. На странице «Состояние развертывания» выберите | 2. На странице «Состояние развертывания» выберите АктивныйШлюз, который нужно настроить. | ||
3. На странице выбранного | 3. На странице выбранного АктивныйШлюз выберите Изменить сертификат SSL. | ||
4. Вы можете вставить или загрузить сертификаты. | 4. Вы можете вставить или загрузить сертификаты. |
Версия 18:09, 4 декабря 2021
Связь с Cluster АктивныйШлюз возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Возможности настройки домена АктивныйШлюз и SSL-сертификата
Первоначально после установки Cluster АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивныйШлюз и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивныйШлюз.
- Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый Cluster АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
- Если вы не разрешаете Ключ-АСТРОМ генерировать сертификаты SSL для АктивныйШлюзов, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через Консоль управления кластером или с помощью Cluster REST API v1.
Не настраивайте сертификат SSL непосредственно на устройстве
Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.
Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.
Настройте Ключ-АСТРОМ для управления доменом и сертификатом для Cluster АктивныйШлюз
Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
- Выберите АктивныйШлюз в разделе «Состояние развертывания»> «АктивныйШлюзы» и укажите общедоступный IP-адрес для Cluster АктивныйШлюз.
- Для узла кластера в меню Ключ-АСТРОМ выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».
Настройте собственное доменное имя и сертификат для Cluster АктивныйШлюз
Прежде чем вы начнете
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
- Сертификат сервера (.cer или .cert)
- Корневые и промежуточные сертификаты (.cer или .cert)
- Закрытый ключ для сертификатов (.pem)
Зашифрованные приватные ключи
Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:
openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key
где
encrypted.ssl.key
- это имя файла вашего зашифрованного закрытого ключа SSL.decrypted.ssl.key
- это выходной файл для вашего расшифрованного закрытого ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key
.
Укажите домен и отключите автоматическое управление доменом и сертификатами
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL.
Затем укажите свое собственное доменное имя в поле Cluster АктивныйШлюз URL.
Загрузите свой доверенный сертификат
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster АктивныйШлюз, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
1. Войдите в Ключ-АСТРОМ Managed как администратор.
2. На странице «Состояние развертывания» выберите АктивныйШлюз, который нужно настроить.
3. На странице выбранного АктивныйШлюз выберите Изменить сертификат SSL.
4. Вы можете вставить или загрузить сертификаты.
- Закрытый ключ: ваш закрытый ключ.
- Сертификат открытого ключа: сертификат вашего сервера.
- Цепочка сертификатов: ваш корневой и промежуточный сертификаты.
Важно
Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.
Формат верхнего и нижнего колонтитула ключа:
-----BEGIN PRIVATE KEY-----
(Private Key)
-----END PRIVATE KEY-----
Формат верхнего и нижнего колонтитула сертификата:
-----BEGIN CERTIFICATE-----
(SSL Certificate)
-----END CERTIFICATE-----
5. Выберите Сохранить, чтобы загрузить сертификаты.
Избегайте ошибок несоответствия имен
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле Cluster ActivGate URL для узла кластера.