Настройка SSL-сертификата для кластерного ActiveGate: различия между версиями
YaPolkin (обсуждение | вклад) (Новая страница: «Связь с Cluster ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи Cl...») |
YaPolkin (обсуждение | вклад) м (YaPolkin переименовал страницу Настройка SSL-сертификата для кластерного АктивногоШлюза в Настройка SSL-сертификата для кластерного ActiveGate) |
||
| (не показано 7 промежуточных версий 2 участников) | |||
| Строка 1: | Строка 1: | ||
Связь с | Связь с кластерным ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса. | ||
== Возможности настройки домена ActiveGate и SSL-сертификата == | == Возможности настройки домена ActiveGate и SSL-сертификата == | ||
Первоначально после установки | Первоначально после установки кластерный ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить '''общедоступный IP-адрес для ActiveGate''' и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate. | ||
* Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый | * Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый кластерный ActiveGate с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL. | ||
* Если вы не | * Если вы не разрешите Dynatrace генерировать сертификаты SSL для ActiveGate, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через консоль управления кластером или с помощью Cluster REST API v1. | ||
----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big> | ----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big> | ||
Не пытайтесь настроить SSL-сертификаты непосредственно на свой | Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace. | ||
'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.''' | '''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.''' | ||
---- | ---- | ||
== Настройте Dynatrace для управления доменом и сертификатом для | == Настройте Dynatrace для управления доменом и сертификатом для кластерного ActiveGate == | ||
Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров: | Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров: | ||
* Выберите ActiveGate в разделе | * Выберите ActiveGate в разделе '''Состояние развертывания''' > '''ActiveGate''' и укажите общедоступный IP-адрес для кластерного ActiveGate. | ||
* Для узла кластера в меню Dynatrace выберите | * Для узла кластера в меню Dynatrace выберите '''Настройки''' > '''Общедоступные эндпоинты''' и убедитесь, что включен параметр '''Включить управление доменным именем и сертификатами SSL'''. | ||
== Настройте собственное доменное имя и сертификат для | == Настройте собственное доменное имя и сертификат для кластерного ActiveGate == | ||
=== Прежде чем вы начнете === | === Прежде чем вы начнете === | ||
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA): | Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA): | ||
*Сертификат сервера (<code>.cer</code> или <code>.cert</code>) | |||
*Корневые и промежуточные сертификаты (<code>.cer</code> или <code>.cert</code>) | |||
*Приватный ключ для сертификатов (<code>.pem</code>) | |||
----<big>''Зашифрованные приватные ключи''</big> | |||
Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду: | |||
<code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code> | |||
где | |||
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного приватного ключа SSL. | |||
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного приватного ключа SSL. | |||
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>. | |||
---- | ---- | ||
=== Укажите домен и отключите автоматическое управление доменом и сертификатами === | |||
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в '''Настройки''' > '''Общедоступные эндпоинты'''. Затем отключите параметр '''Включить управление доменным именем и сертификатами SSL'''. | |||
Затем укажите свое собственное доменное имя в поле URL кластерного ActiveGate. | |||
=== Загрузите свой доверенный сертификат === | |||
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный ActiveGate, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером: | |||
1. Войдите в Dynatrace Managed как администратор. | |||
2. На странице '''Состояние развертывания''' выберите ActiveGate, который нужно настроить. | |||
3. На странице выбранного ActiveGate выберите '''Изменить SSL-сертификат'''. | |||
4. Вы можете вставить или загрузить сертификаты. | |||
* '''Приватный ключ''': ваш приватный ключ. | |||
* '''Сертификат публичного ключа''': сертификат вашего сервера. | |||
* '''Цепочка сертификатов''': ваш корневой и промежуточный сертификаты. | |||
----<big>''Важно''</big> | |||
Ключ и сертификаты должны быть в формате PEM с полными заголовками <code>BEGIN</code> и <code>END</code>. | |||
'''Формат верхнего и нижнего колонтитула ключа''': | |||
<code>-----BEGIN PRIVATE KEY-----</code> | |||
<code>(Private Key)</code> | |||
<code>-----END PRIVATE KEY-----</code> | |||
'''Формат верхнего и нижнего колонтитула сертификата''': | |||
<code>-----BEGIN CERTIFICATE-----</code> | |||
<code>(SSL Certificate)</code> | |||
<code>-----END CERTIFICATE-----</code> | |||
----5. Выберите '''Сохранить''', чтобы загрузить сертификаты. | |||
----<big>''Избегайте ошибок несоответствия имен''</big> | |||
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного ActiveGate для узла кластера. | |||
Текущая версия на 10:45, 20 января 2023
Связь с кластерным ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Возможности настройки домена ActiveGate и SSL-сертификата
Первоначально после установки кластерный ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить общедоступный IP-адрес для ActiveGate и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate.
- Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый кластерный ActiveGate с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
- Если вы не разрешите Dynatrace генерировать сертификаты SSL для ActiveGate, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через консоль управления кластером или с помощью Cluster REST API v1.
Не настраивайте сертификат SSL непосредственно на устройстве
Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace.
Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.
Настройте Dynatrace для управления доменом и сертификатом для кластерного ActiveGate
Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
- Выберите ActiveGate в разделе Состояние развертывания > ActiveGate и укажите общедоступный IP-адрес для кластерного ActiveGate.
- Для узла кластера в меню Dynatrace выберите Настройки > Общедоступные эндпоинты и убедитесь, что включен параметр Включить управление доменным именем и сертификатами SSL.
Настройте собственное доменное имя и сертификат для кластерного ActiveGate
Прежде чем вы начнете
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
- Сертификат сервера (
.cerили.cert) - Корневые и промежуточные сертификаты (
.cerили.cert) - Приватный ключ для сертификатов (
.pem)
Зашифрованные приватные ключи
Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:
openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key
где
encrypted.ssl.key- это имя файла вашего зашифрованного приватного ключа SSL.decrypted.ssl.key- это выходной файл для вашего расшифрованного приватного ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.
Укажите домен и отключите автоматическое управление доменом и сертификатами
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в Настройки > Общедоступные эндпоинты. Затем отключите параметр Включить управление доменным именем и сертификатами SSL.
Затем укажите свое собственное доменное имя в поле URL кластерного ActiveGate.
Загрузите свой доверенный сертификат
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный ActiveGate, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
1. Войдите в Dynatrace Managed как администратор.
2. На странице Состояние развертывания выберите ActiveGate, который нужно настроить.
3. На странице выбранного ActiveGate выберите Изменить SSL-сертификат.
4. Вы можете вставить или загрузить сертификаты.
- Приватный ключ: ваш приватный ключ.
- Сертификат публичного ключа: сертификат вашего сервера.
- Цепочка сертификатов: ваш корневой и промежуточный сертификаты.
Важно
Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.
Формат верхнего и нижнего колонтитула ключа:
-----BEGIN PRIVATE KEY-----
(Private Key)
-----END PRIVATE KEY-----
Формат верхнего и нижнего колонтитула сертификата:
-----BEGIN CERTIFICATE-----
(SSL Certificate)
-----END CERTIFICATE-----
5. Выберите Сохранить, чтобы загрузить сертификаты.
Избегайте ошибок несоответствия имен
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного ActiveGate для узла кластера.
