Установка собственного SSL-сертификата для ноды кластера

Материал из Dynatrace

Пользовательский интерфейс Dynatrace доступен только через зашифрованные HTTPS-соединения. Чтобы обеспечить безопасный доступ и избежать предупреждений браузера, необходимо настроить действующий сертификат SSL. Dynatrace может управлять этим автоматически - каждый кластер получает выделенный веб-домен и доверенный сертификат SSL. Вы можете использовать этот домен для доступа к пользовательскому интерфейсу Dynatrace, не получая предупреждений браузера.

Если вы не хотите, чтобы Dynatrace создавал для вас домен и сертификат SSL, перейдите в «Настройки»> «Настройки» в консоли управления кластером и отключите параметр «Управление именем домена и сертификатами SSL». После этого Dynatrace будет использовать самозаверяющий сертификат SSL. Самозаверяющие сертификаты по умолчанию не являются доверенными - при первой попытке подключения к Dynatrace Managed вы получите предупреждение системы безопасности. Подтвердите это исключение в настройках безопасности вашего браузера.

Чтобы использовать собственный доверенный сертификат SSL, отключите автоматическое управление и следуйте приведенным ниже инструкциям.

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

  • Сертификат сервера (.cer или .cert)
  • Корневые и промежуточные сертификаты (.cer или .cert)
  • Закрытый ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

  • encrypted.ssl.key - это имя файла вашего зашифрованного закрытого ключа SSL.
  • decrypted.ssl.key - это выходной файл для вашего расшифрованного закрытого ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.

[необязательно] Для установки из командной строки вам необходимо:

  • Сценарий управляемой установки Dynatrace
  • Набор инструментов OpenSSL

Установите доверенный сертификат на узел кластера Dynatrace

Если вы хотите использовать свой собственный сертификат или сертификат, выданный центром сертификации, загрузите или вставьте сертификат в узел кластера Dynatrace. Вы также можете указать имя хоста, связанное с сертификатом, как часть конфигурации узла Dynatrace Cluster.

1. Войдите в Dynatrace Managed как администратор.

2. На странице состояния управляемого развертывания Dynatrace выберите узел кластера, которому требуется новый сертификат.

3. На странице «Сведения об узле» выберите «Изменить сертификат SSL».

Пример страницы редактирования SSL-сертификатов

Страница редактирования SSL-сертификатов

4. Вы можете вставить или загрузить файлы ключей, полученные от центра сертификации.

  • Закрытый ключ: ваш закрытый ключ.
  • Сертификат открытого ключа: сертификат вашего сервера.
  • Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----

5. Выберите Сохранить, чтобы загрузить сертификаты.

Ошибка несоответствия имени

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (имя домена) в сертификате SSL совпадает с адресом, отображаемым в адресной строке браузера.

Источник — https://doc.expert-apm.kz/index.php?title=Установка_собственного_SSL-сертификата_для_ноды_кластера&oldid=2514