Установка собственного SSL-сертификата для ноды кластера

Материал из Документация Ключ-АСТРОМ
Версия от 14:56, 17 августа 2023; ENetrebin (обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Установка и настройка / Основные элементы Ключ-Астром / Ключ-АСТРОМ Managed / Установка / Установка собственного SSL-сертификата для ноды кластера

Пользовательский интерфейс Ключ-АСТРОМ доступен только через зашифрованные HTTPS-соединения. Чтобы обеспечить безопасный доступ и избежать предупреждений браузера, необходимо настроить действующий сертификат SSL. Ключ-АСТРОМ может управлять этим автоматически - каждый кластер получает выделенный веб-домен и доверенный сертификат SSL. Вы можете использовать этот домен для доступа к пользовательскому интерфейсу Ключ-АСТРОМ, не получая предупреждений браузера.

Если вы не хотите, чтобы Ключ-АСТРОМ создавал для вас домен и сертификат SSL, перейдите в «Настройки»> «Настройки» в консоли управления кластером и отключите параметр «Управление именем домена и сертификатами SSL». После этого Ключ-АСТРОМ будет использовать самозаверяющий сертификат SSL. Самозаверяющие сертификаты по умолчанию не являются доверенными - при первой попытке подключения к Ключ-АСТРОМ Managed вы получите предупреждение системы безопасности. Подтвердите это исключение в настройках безопасности вашего браузера.

Чтобы использовать собственный доверенный сертификат SSL, отключите автоматическое управление и следуйте приведенным ниже инструкциям.

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

  • Сертификат сервера (.cer или .cert)
  • Корневые и промежуточные сертификаты (.cer или .cert)
  • Закрытый ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

  • encrypted.ssl.key - это имя файла вашего зашифрованного закрытого ключа SSL.
  • decrypted.ssl.key - это выходной файл для вашего расшифрованного закрытого ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.


[необязательно] Для установки из командной строки вам необходимо:

  • Сценарий управляемой установки Ключ-АСТРОМ
  • Набор инструментов OpenSSL

Установите доверенный сертификат на узел кластера Ключ-АСТРОМ

Если вы хотите использовать свой собственный сертификат или сертификат, выданный центром сертификации, загрузите или вставьте сертификат в узел кластера Ключ-АСТРОМ. Вы также можете указать имя хоста, связанное с сертификатом, как часть конфигурации узла Ключ-АСТРОМ Cluster.

1. Войдите в Ключ-АСТРОМ Managed как администратор.

2. На странице состояния управляемого развертывания Ключ-АСТРОМ выберите узел кластера, которому требуется новый сертификат.

3. На странице «Сведения об узле» выберите «Изменить сертификат SSL».

Пример страницы редактирования SSL-сертификатов

Страница редактирования SSL-сертификатов

4. Вы можете вставить или загрузить файлы ключей, полученные от центра сертификации.

  • Закрытый ключ: ваш закрытый ключ.
  • Сертификат открытого ключа: сертификат вашего сервера.
  • Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----


5. Выберите Сохранить, чтобы загрузить сертификаты.


Ошибка несоответствия имени

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (имя домена) в сертификате SSL совпадает с адресом, отображаемым в адресной строке браузера.