Настройка SSL-сертификата для кластерного АктивногоШлюза: различия между версиями

Версия от 13:12, 8 ноября 2024

Установка и настройка / Основные элементы АппОптима / АппОптима Managed / Установка / Настройка SSL-сертификата для кластерного АктивногоШлюза

Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.

Возможности настройки домена АктивногоШлюза и SSL-сертификата

Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный АппОптима. Затем вы можете определить общедоступный IP-адрес для АктивногоШлюза и разрешить АппОптима управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.

Если вы разрешите АппОптима управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
Если вы не разрешите АппОптима генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.

Не настраивайте сертификат SSL непосредственно на устройстве

Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым АппОптима.

Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.

Настройте АппОптима для управления доменом и сертификатом для кластерного АктивногоШлюза

Если вы хотите разрешить АппОптима управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:

Выберите АктивныйШлюз в разделе Состояние развертывания > АктивныеШлюзы и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
Для узла кластера в меню АппОптима выберите Настройки > Общедоступные эндпоинты и убедитесь, что включен параметр Включить управление доменным именем и сертификатами SSL.

Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

Сертификат сервера (.cer или .cert)
Корневые и промежуточные сертификаты (.cer или .cert)
Приватный ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

encrypted.ssl.key - это имя файла вашего зашифрованного приватного ключа SSL.
decrypted.ssl.key - это выходной файл для вашего расшифрованного приватного ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.

Укажите домен и отключите автоматическое управление доменом и сертификатами

Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню АппОптима перейдите в Настройки > Общедоступные эндпоинты. Затем отключите параметр Включить управление доменным именем и сертификатами SSL.

Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.

Загрузите свой доверенный сертификат

Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:

1. Войдите в АппОптима Managed как администратор.

2. На странице Состояние развертывания выберите АктивныйШлюз, который нужно настроить.

3. На странице выбранного АктивногоШлюза выберите Изменить SSL-сертификат.

4. Вы можете вставить или загрузить сертификаты.

Приватный ключ: ваш приватный ключ.
Сертификат публичного ключа: сертификат вашего сервера.
Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----

5. Выберите Сохранить, чтобы загрузить сертификаты.

Избегайте ошибок несоответствия имен

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера.

@@ Строка 1: / Строка 1: @@
-'''''[[Установка и настройка]] / [https://doc.ruscomtech.ru/index.php/%D0%A3%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0_%D0%B8_%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0#.D0.9E.D1.81.D0.BD.D0.BE.D0.B2.D0.BD.D1.8B.D0.B5_.D1.8D.D0.BB.D0.B5.D0.BC.D0.B5.D0.BD.D1.82.D1.8B_.D0.9A.D0.BB.D1.8E.D1.87-.D0.90.D1.81.D1.82.D1.80.D0.BE.D0.BC Основные элементы Ключ-Астром] / [[Ключ-АСТРОМ Managed]] / [https://doc.ruscomtech.ru/index.php/%D0%9A%D0%BB%D1%8E%D1%87-%D0%90%D0%A1%D0%A2%D0%A0%D0%9E%D0%9C_Managed#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0 Установка] / Настройка SSL-сертификата для кластерного АктивногоШлюза'''''
+'''''[[Установка и настройка]] / Основные элементы АппОптима / [[АппОптима Managed]] / Установка / Настройка SSL-сертификата для кластерного АктивногоШлюза'''''
 Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
 == Возможности настройки домена АктивногоШлюза и SSL-сертификата ==
-Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить '''общедоступный IP-адрес для АктивногоШлюза''' и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.
+Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный АппОптима. Затем вы можете определить '''общедоступный IP-адрес для АктивногоШлюза''' и разрешить АппОптима управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.
-* Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
+* Если вы разрешите АппОптима управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
-* Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.
+* Если вы не разрешите АппОптима генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.
 ----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>
-Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.
+Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым АппОптима.
 '''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
 ----
-== Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза ==
+== Настройте АппОптима для управления доменом и сертификатом для кластерного АктивногоШлюза ==
-Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
+Если вы хотите разрешить АппОптима управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
 * Выберите АктивныйШлюз в разделе '''Состояние развертывания''' > '''АктивныеШлюзы''' и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
-* Для узла кластера в меню Ключ-АСТРОМ выберите '''Настройки''' > '''Общедоступные эндпоинты''' и убедитесь, что включен параметр '''Включить управление доменным именем и сертификатами SSL'''.
+* Для узла кластера в меню АппОптима выберите '''Настройки''' > '''Общедоступные эндпоинты''' и убедитесь, что включен параметр '''Включить управление доменным именем и сертификатами SSL'''.
 == Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза ==
@@ Строка 42: / Строка 42: @@
 === Укажите домен и отключите автоматическое управление доменом и сертификатами ===
-Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в '''Настройки''' > '''Общедоступные эндпоинты'''. Затем отключите параметр '''Включить управление доменным именем и сертификатами SSL'''.
+Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню АппОптима перейдите в '''Настройки''' > '''Общедоступные эндпоинты'''. Затем отключите параметр '''Включить управление доменным именем и сертификатами SSL'''.
 Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.
@@ Строка 49: / Строка 49: @@
 Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
-. Войдите в Ключ-АСТРОМ Managed как администратор.
+. Войдите в АппОптима Managed как администратор.
 . На странице '''Состояние развертывания''' выберите АктивныйШлюз, который нужно настроить.