Управление SSL-сертификатом узла кластера

По умолчанию KSMG в качестве SSL-сертификата узла кластера использует самоподписанный сертификат, который генерируется автоматически при развертывании узла кластера. При входе в веб-интерфейс приложения с этим сертификатом в браузере отображается предупреждение о том, что соединение небезопасно. Для повышения удобства и безопасности при работе в веб-интерфейсе приложения вы можете заменить сертификат узла, который используется по умолчанию, на сертификат, выписанный доверенным центром сертификации.

Для замены SSL-сертификата узла кластера вам потребуются следующие файлы:

• Файл сертификата формата X.509 с расширением PEM или файл-контейнер с цепочкой сертификатов формата X.509 с расширением PEM.
• Файл приватного ключа RSA с расширением PEM (без парольной фразы).

Вы можете подготовить файл приватного ключа и сертификат для подписи самостоятельно или можете получить готовые файлы от удостоверяющего центра.

Этапы замены SSL-сертификата узла кластера при самостоятельном создании файлов приватного ключа и сертификата

1. Создание файла приватного ключа и запроса на подпись сертификата (Certificate Signing Request)

   Вы получите от удостоверяющего центра один из следующих файлов:

   • файл подписанного сертификата формата X.509 с расширением CER или CRT;
   • файл цепочки сертификатов в формате PKCS#7 с расширением P7B. Файл включает подписанный по вашему запросу сертификат сайта и сертификаты промежуточных центров сертификации.
2. Конвертация полученных файлов в PEM-кодировку

   В зависимости от типа файла, полученного на предыдущем этапе, следует выполнить одно из следующих действий:

   • Конвертировать сертификат из кодировки DER в PEM-кодировку.
   • Извлечь цепочку сертификатов из контейнера PKCS#7.
3. Замена SSL-сертификата узла кластера

   Если у вас установлена любая поддерживаемая операционная система, кроме Astra Linux Special Edition, используйте инструкцию Замена SSL-сертификата узла кластера с веб-сервером Nginx.

   Если у вас установлена операционная система Astra Linux Special Edition, используйте инструкцию Замена SSL-сертификата узла кластера с веб-сервером Apache.

Этапы замены SSL-сертификата узла кластера при предоставлении файлов приватного ключа и сертификата удостоверяющим центром

1. Получение файлов приватного ключа и сертификата от удостоверяющего центра

   Приватный ключ и сертификат предоставляются в виде PFX-контейнера (формат PKCS#12, файл с расширением PFX или P12).

   Если в качестве удостоверяющего центра в вашей организации используется стандартная служба Active Directory Certification Services, следует использовать шаблон Web Server для создания сертификата. Вам нужно сохранить результат в виде цепочки сертификатов (certificate chain) в DER-кодировке.

2. Извлечение файлов сертификата и приватного ключа из PFX-контейнера
3. Замена SSL-сертификата узла кластера

   Если у вас установлена любая поддерживаемая операционная система, кроме Astra Linux Special Edition, используйте инструкцию Замена SSL-сертификата узла кластера с веб-сервером Nginx.

   Если у вас установлена операционная система Astra Linux Special Edition, используйте инструкцию Замена SSL-сертификата узла кластера с веб-сервером Apache.

В этом разделе Создание файла запроса на подпись SSL-сертификата Конвертация сертификата из кодировки DER в PEM-кодировку Извлечение цепочки сертификатов из контейнера PKCS#7 Извлечение файлов сертификата и приватного ключа из PFX-контейнера Замена SSL-сертификата узла кластера с веб-сервером Nginx Замена SSL-сертификата узла кластера с веб-сервером Apache

В начало