Добавление SSL-сертификата в TrustStore кластера Ключ-АСТРОМ Managed

Материал из Документация Ключ-АСТРОМ
Версия от 00:51, 6 декабря 2021; YaPolkin (обсуждение | вклад) (Новая страница: «Могут быть случаи, когда вам нужно вручную добавить сертификат SSL в хранилища доверия уп...»)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)

Могут быть случаи, когда вам нужно вручную добавить сертификат SSL в хранилища доверия управляемого кластера Ключ-АСТРОМ, например, если ваш кластер отказывается принимать сертификат SSL при отправке электронных писем или уведомлений WebHook. Обычно это происходит при использовании самозаверяющего сертификата.

Как узнать, что ваш кластер не принимает сертификаты

Если в кластере возникают проблемы с отправкой уведомлений, поищите в каталоге журнала установки узла кластера все файлы с шаблоном имени Server.*.*.log.

Если какие-либо файлы с этим шаблоном именования существуют в папке журнала, найдите в этих файлах журнала следующую запись:

sun.security.validator.ValidatorException: PKIX path building failed:

sun.security.provider.certpath.SunCertPathBuilderException

Записи журнала, подобные приведенному выше примеру, указывают на то, что сертификат, предоставленный получателем уведомления, не был принят узлом кластера. Причина этого обычно в том, что сертификату не доверяют.

Добавьте настраиваемый сертификат в TrustStore ноды кластера

Используйте сертификат PEM (.crt , .pem , .cer) и выполните сценарий реконфигурации на каждом узле кластера, используя параметры --update-cert и --network-proxy-cert-file:

<PRODUCT_PATH>/installer/reconfigure.sh --update-cert --network-proxy-cert-file <cert_file>.cer


Параметр прокси

Параметр --network-proxy-cert-file предназначен для предоставления сертификата прокси для управляемого, но его также можно использовать для предоставления сертификата для любого безопасного подключения к управляемому кластеру.