Работа с сертификатами веб-консоли KUMA в отказоустойчивой конфигурации

Изменение самоподписанного сертификата веб-консоли

Чтобы заменить самоподписанный сертификат веб-консоли KUMA на корпоративный сертификат:

  1. Подключитесь к главному контроллеру кластера по ssh:

    ssh <имя пользователя>@<FQDN главного контроллера>

  2. Перейдите в домашний каталог пользователя или создайте новый каталог для дальнейших операций и перейдите в него.
  3. Скопируйте действующие сертификат и ключ в качестве резервной копии в текущий каталог на контроллере кластера следующими командами:

    export POD=$(k0s kubectl get pods --namespace kuma -l "app=core" -o jsonpath="{.items[0].metadata.name}")

    sudo k0s kubectl cp --no-preserve -c core kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.cert ./external.cert.old

    sudo k0s kubectl cp --no-preserve -c core kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.key ./external.key.old

  4. Подготовьте пользовательские сертификат и ключ для замены.

    В OpenSSL конвертируйте файл PFX в сертификат и зашифрованный ключ в формате PEM:

    sudo openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nokeys -out external.cert

    sudo openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nocerts -nodes -out external.key

    При выполнении команды потребуется указать пароль от ключа PFX (Enter Import Password).

    В результате получен сертификат external.cert и ключ external.key в формате PEM.

  5. Поместите полученные файлы сертификата external.cert и ключа external.key в текущий каталог на контроллере кластера и, затем, скопируйте их в файловую систему пода ядра KUMA следующими командами:

    export POD=$(k0s kubectl get pods --namespace kuma -l "app=core" -o jsonpath="{.items[0].metadata.name}")

    sudo k0s kubectl cp --no-preserve ./external.cert kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.cert -c core

    sudo k0s kubectl cp --no-preserve ./external.key kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.key -c core

  6. Перезапустите ядро KUMA следующей командой:

    sudo k0s kubectl rollout restart deployment/core-deployment -n kuma

  7. Обновите страницу или перезапустите браузер, с помощью которого вы работаете в веб-интерфейсе KUMA.

Замена самоподписанного сертификата веб-консоли на корпоративный сертификат выполнена.

Отмена внесенных изменений

Чтобы отменить внесенные изменения и вернуться к использованию прежнего сертификата и ключа:

  1. Перейдите в домашний каталог пользователя на главном контроллере и выполните следующие команды:

    sudo export POD=$(k0s kubectl get pods --namespace kuma -l "app=core" -o jsonpath="{.items[0].metadata.name}")

    sudo k0s kubectl cp --no-preserve ./external.cert.old kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.cert -c core

    sudo k0s kubectl cp --no-preserve ./external.key.old kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.key -c core

  2. Перезапустите Ядро KUMA с помощью следующей команды:

    sudo k0s kubectl rollout restart deployment/core-deployment -n kuma

  3. Обновите страницу или перезапустите браузер, с помощью которого вы работаете в веб-интерфейсе KUMA.

Изменения отменены, используется прежний сертификат и ключ веб-консоли.

В начало