Замена SSL-сертификата узла кластера

Чтобы заменить SSL-сертификат узла кластера:

  1. Запустите командную оболочку операционной системы на узле кластера для выполнения команд с полномочиями суперпользователя (администратора системы).
  2. Поместите файлы сертификата (cert.pem) и приватного ключа (key.pem) в директорию /root.
  3. Перейдите в директорию с конфигурационными файлами веб-сервера с помощью команды:

    cd /var/opt/kaspersky/klms/certs

  4. Создайте резервные копии файлов действующего сертификата и приватного ключа с помощью команд:

    cp -p webapi.crt webapi.crt.backup

    cp -p webapi.key webapi.key.backup

    cp -p webapi-with-dhparam.crt webapi-with-dhparam.crt.backup

  5. Замените содержимое файлов сертификата и приватного ключа с помощью команд:

    cat /root/cert.pem > webapi.crt

    cat /root/key.pem > webapi.key

  6. Сгенерируйте параметры DH c помощью команды:

    openssl dhparam -out dhparam-webapi.pem 4096

    Генерация параметров DH может занять 10–20 минут. Дождитесь окончания выполнения операции.

  7. Добавьте параметры DH к сертификату c помощью команды:

    cat webapi.crt dhparam-webapi.pem > webapi-with-dhparam.crt

  8. Укажите владельца сертификата и права доступа к приватному ключу сертификата с помощью команд:

    chown root:root webapi.crt

    chmod 644 webapi.crt

    chown kluser:root webapi.key

    chmod 600 webapi.key

    chown root:root dhparam-webapi.pem

    chmod 644 dhparam-webapi.pem

    chown root:root webapi-with-dhparam.crt

    chmod 644 webapi-with-dhparam.crt

  9. Перезапустите сервис Apache с помощью команды:

    systemctl restart apache2

  10. Проверьте статус сервиса Apache с помощью команды:

    systemctl status apache2

    Для сервиса должен быть актуален статус running.

  11. Откройте в браузере веб-интерфейс узла кластера. В случае успешной замены сертификата предупреждение о небезопасном соединении не отображается.
  12. Если замена завершилась успешно, удалите исходные файлы сертификата и приватного ключа из директории /root с помощью команды:

    rm -f /root/cert.pem /root/key.pem

Замена SSL-сертификата узла кластера будет завершена. Если вы хотите заменить сертификат на нескольких узлах кластера, вам требуется выполнить шаги инструкции на каждом узле.

В начало