Настройка SSL-сертификата для кластерного АктивногоШлюза: различия между версиями

Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.

Возможности настройки домена АктивногоШлюза и SSL-сертификата

Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивногоШлюза и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.

• Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
• Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.

Не настраивайте сертификат SSL непосредственно на устройстве

Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.

Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.

Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза

Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:

• Выберите АктивныйШлюз в разделе Состояние развертывания > АктивныеШлюзы и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
• Для узла кластера в меню Ключ-АСТРОМ выберите Настройки > Общедоступные эндпоинты и убедитесь, что включен параметр Включить управление доменным именем и сертификатами SSL.

Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

• Сертификат сервера (.cer или .cert)
• Корневые и промежуточные сертификаты (.cer или .cert)
• Приватный ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

• encrypted.ssl.key - это имя файла вашего зашифрованного приватного ключа SSL.
• decrypted.ssl.key - это выходной файл для вашего расшифрованного приватного ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.

Укажите домен и отключите автоматическое управление доменом и сертификатами

Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в Настройки > Общедоступные эндпоинты. Затем отключите параметр Включить управление доменным именем и сертификатами SSL.

Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.

Загрузите свой доверенный сертификат

Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:

1. Войдите в Ключ-АСТРОМ Managed как администратор.

2. На странице Состояние развертывания выберите АктивныйШлюз, который нужно настроить.

3. На странице выбранного АктивногоШлюза выберите Изменить SSL-сертификат.

4. Вы можете вставить или загрузить сертификаты.

• Приватный ключ: ваш приватный ключ.
• Сертификат публичного ключа: сертификат вашего сервера.
• Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----

5. Выберите Сохранить, чтобы загрузить сертификаты.

Избегайте ошибок несоответствия имен

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера.