Добавление SSL-сертификата в TrustStore кластера Ключ-АСТРОМ Managed
Могут быть случаи, когда вам нужно вручную добавить сертификат SSL в хранилища доверия управляемого кластера Ключ-АСТРОМ, например, если ваш кластер отказывается принимать сертификат SSL при отправке электронных писем или уведомлений WebHook. Обычно это происходит при использовании самозаверяющего сертификата.
Как узнать, что ваш кластер не принимает сертификаты
Если в кластере возникают проблемы с отправкой уведомлений, поищите в каталоге журнала установки узла кластера все файлы с шаблоном имени Server.*.*.log
.
Если какие-либо файлы с этим шаблоном именования существуют в папке журнала, найдите в этих файлах журнала следующую запись:
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException
Записи журнала, подобные приведенному выше примеру, указывают на то, что сертификат, предоставленный получателем уведомления, не был принят узлом кластера. Причина этого обычно в том, что сертификату не доверяют.
Добавьте настраиваемый сертификат в TrustStore ноды кластера
Используйте сертификат PEM (.crt
, .pem
, .cer
) и выполните сценарий реконфигурации на каждом узле кластера, используя параметры --update-cert
и --network-proxy-cert-file
:
<PRODUCT_PATH>/installer/reconfigure.sh --update-cert --network-proxy-cert-file <cert_file>.cer
Параметр прокси
Параметр --network-proxy-cert-file
предназначен для предоставления сертификата прокси для управляемого, но его также можно использовать для предоставления сертификата для любого безопасного подключения к управляемому кластеру.