取代叢集節點的 SSL 憑證

若要取代叢集節點的 SSL 憑證：

1. 在叢集節點上啟動作業系統命令 shell，以使用超級使用者（系統管理員）權限執行命令。
2. 將憑證檔案 (cert.pem) 和私密金鑰檔案 (key.pem) 放在 /root 目錄中。
3. 切換到 Web 伺服器設定檔目錄：

   cd /var/opt/kaspersky/ksmg/certs

4. 建立目前憑證和私密金鑰的備份副本：

   cp -p webapi.crt webapi.crt.backup

   cp -p webapi.key webapi.key.backup

   cp -p dhparam.pem dhparam.pem.backup

5. 取代憑證和私密金鑰檔案的內容：

   cat /root/cert.pem > webapi.crt

   cat /root/key.pem > webapi.key

6. 產生DH 參數：

   openssl dhparam -out dhparam.pem 4096

   產生 DH 參數可能需要 10 到 20 分鐘。等待作業完成。

7. 使用以下命令設定修改檔案的存取權限：

   chown root:root webapi.crt

   chmod 644 webapi.crt

   chown kluser:root webapi.key

   chmod 600 webapi.key

   chown root:root dhparam.pem

   chmod 644 dhparam.pem

8. 重新啟動 nginx 服務：

   systemctl restart nginx

9. 檢查 nginx 服務的狀態：

   systemctl status nginx

   該服務的狀態必須為 running。

10. 在瀏覽器中開啟叢集節點的 Web 介面。如果已成功取代憑證，則不會顯示不安全連線警告。
11. 如果取代成功，請刪除 /root 目錄中的原始憑證和私密金鑰檔案：

    rm -f /root/cert.pem /root/key.pem

就會取代叢集節點的 SSL 憑證。如果要取代多個叢集節點上的憑證，則必須在每個節點上按照逐步說明進行操作。

頁面頂端