Remplacement du certificat SSL d'un nœud de cluster par le serveur Web Apache

Le serveur Web Apache est utilisé dans le système d'exploitation Astra Linux Special Edition.

Pour remplacer le certificat SSL d'un nœud de cluster par le serveur Web Apache :

  1. Lancez le shell de commande du système d'exploitation sur le nœud du cluster pour exécuter des commandes avec les privilèges de super utilisateur (administrateur système).
  2. Placez le fichier de certificat (cert.pem) et celui de la clé privée (key.pem) dans le répertoire /root.
  3. Passez au répertoire contenant les fichiers de configuration du serveur Web à l'aide de la commande suivante :

    cd /var/opt/kaspersky/ksmg/certs

  4. Créez des copies de sauvegarde des fichiers du certificat actif et de la clé privée à l'aide des commandes suivantes :

    cp -p webapi.crt webapi.crt.backup

    cp -p webapi.key webapi.key.backup

    cp -p webapi-with-dhparam.crt webapi-with-dhparam.crt.backup

  5. Remplacez le contenu des fichiers de certificat et de clé privée à l'aide des commandes suivantes :

    cat /root/cert.pem > webapi.crt

    cat /root/key.pem > webapi.key

  6. Générez les paramètres DH à l'aide de la commande :

    openssl dhparam -out dhparam.pem 4096

    La génération des paramètres DH peut prendre de 10 à 20 minutes. Attendez la fin de l'opération.

  7. Ajoutez les paramètres DH au certificat à l'aide de la commande :

    cat webapi.crt dhparam.pem > webapi-with-dhparam.crt

  8. Spécifiez les droits d'accès aux fichiers modifiés à l'aide des commandes :

    chown root:root webapi.crt

    chmod 644 webapi.crt

    chown kluser:root webapi.key

    chmod 600 webapi.key

    chown root:root dhparam.pem

    chmod 644 dhparam.pem

    chown root:root webapi-with-dhparam.crt

    chmod 644 webapi-with-dhparam.crt

  9. Relancez le service Apache à l'aide de la commande suivante :

    systemctl restart apache2

  10. Vérifiez l'état du service Apache à l'aide de la commande suivante :

    systemctl status apache2

    Le service doit avoir l'état running.

  11. Ouvrez l'interface Web du nœud du cluster dans le navigateur. Si le remplacement du certificat a réussi, l'avertissement relatif à la connexion non sécurisée ne s'affiche pas.
  12. En cas de réussite du remplacement, supprimez les fichiers source du certificat et de la clé privée dans le répertoire /root à l'aide de la commande :

    rm -f /root/cert.pem /root/key.pem

Le remplacement du certificat SSL du nœud du cluster est terminé. Si vous souhaitez remplacer le certificat sur plusieurs nœuds du cluster, vous devez suivre étapes des instructions pour chaque nœud.

Haut de page