Настройка SSL-сертификата для кластерного ActiveGate: различия между версиями

Материал из Dynatrace
Строка 1: Строка 1:
Связь с Cluster АктивныйШлюз возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.


== Возможности настройки домена АктивныйШлюз и SSL-сертификата ==
== Возможности настройки домена АктивногоШлюза и SSL-сертификата ==
Первоначально после установки Cluster АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивныйШлюз и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивныйШлюз.
Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить '''общедоступный IP-адрес для АктивногоШлюза''' и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.


* Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый Cluster АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
* Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен (поддомен <code>dynatrace-managed.com</code>) и доверенный сертификат SSL.
* Если вы не разрешаете Ключ-АСТРОМ генерировать сертификаты SSL для АктивныйШлюзов, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через Консоль управления кластером или с помощью Cluster REST API v1.
* Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.


----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>
----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>


Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.
Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.


'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
----
----


== Настройте Ключ-АСТРОМ для управления доменом и сертификатом для Cluster АктивныйШлюз ==
== Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза ==
Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:


* Выберите АктивныйШлюз в разделе «Состояние развертывания»> «АктивныйШлюзы» и укажите общедоступный IP-адрес для Cluster АктивныйШлюз.
* Выберите АктивныйШлюз в разделе '''Состояние развертывания''' > '''АктивныеШлюзы''' и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
* Для узла кластера в меню Ключ-АСТРОМ выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».
* Для узла кластера в меню Ключ-АСТРОМ выберите '''Настройки''' > '''Общедоступные эндпоинты''' и убедитесь, что включен параметр '''Включить управление доменным именем и сертификатами SSL'''.


== Настройте собственное доменное имя и сертификат для Cluster АктивныйШлюз ==
== Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза ==


=== Прежде чем вы начнете ===
=== Прежде чем вы начнете ===
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
*Сертификат сервера (.cer или .cert)
*Сертификат сервера (<code>.cer</code> или <code>.cert</code>)
*Корневые и промежуточные сертификаты (.cer или .cert)
*Корневые и промежуточные сертификаты (<code>.cer</code> или <code>.cert</code>)
*Закрытый ключ для сертификатов (.pem)
*Приватный ключ для сертификатов (<code>.pem</code>)
----<big>''Зашифрованные приватные ключи''</big>
----<big>''Зашифрованные приватные ключи''</big>


Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:
Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:


<code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code>
<code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code>


где
где
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного закрытого ключа SSL.
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного приватного ключа SSL.
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного закрытого ключа SSL.
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного приватного ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>.
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>.
----
----


=== Укажите домен и отключите автоматическое управление доменом и сертификатами ===
=== Укажите домен и отключите автоматическое управление доменом и сертификатами ===
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL.
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в '''Настройки''' > '''Общедоступные эндпоинты'''. Затем отключите параметр '''Включить управление доменным именем и сертификатами SSL'''.


Затем укажите свое собственное доменное имя в поле Cluster АктивныйШлюз URL.
Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.


=== Загрузите свой доверенный сертификат ===
=== Загрузите свой доверенный сертификат ===
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster АктивныйШлюз, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:


1. Войдите в Ключ-АСТРОМ Managed как администратор.
1. Войдите в Ключ-АСТРОМ Managed как администратор.


2. На странице «Состояние развертывания» выберите АктивныйШлюз, который нужно настроить.
2. На странице '''Состояние развертывания''' выберите АктивныйШлюз, который нужно настроить.


3. На странице выбранного АктивныйШлюз выберите Изменить сертификат SSL.
3. На странице выбранного АктивногоШлюза выберите '''Изменить SSL-сертификат'''.


4. Вы можете вставить или загрузить сертификаты.
4. Вы можете вставить или загрузить сертификаты.


* Закрытый ключ: ваш закрытый ключ.
* '''Приватный ключ''': ваш приватный ключ.
* Сертификат открытого ключа: сертификат вашего сервера.
* '''Сертификат публичного ключа''': сертификат вашего сервера.
* Цепочка сертификатов: ваш корневой и промежуточный сертификаты.
* '''Цепочка сертификатов''': ваш корневой и промежуточный сертификаты.
----<big>''Важно''</big>
----<big>''Важно''</big>


Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.
Ключ и сертификаты должны быть в формате PEM с полными заголовками <code>BEGIN</code> и <code>END</code>.


Формат верхнего и нижнего колонтитула ключа:
'''Формат верхнего и нижнего колонтитула ключа''':


<code>-----BEGIN PRIVATE KEY-----</code>
<code>-----BEGIN PRIVATE KEY-----</code>
Строка 70: Строка 70:
<code>-----END PRIVATE KEY-----</code>
<code>-----END PRIVATE KEY-----</code>


Формат верхнего и нижнего колонтитула сертификата:
'''Формат верхнего и нижнего колонтитула сертификата''':


<code>-----BEGIN CERTIFICATE-----</code>
<code>-----BEGIN CERTIFICATE-----</code>
Строка 77: Строка 77:


<code>-----END CERTIFICATE-----</code>
<code>-----END CERTIFICATE-----</code>
----5. Выберите Сохранить, чтобы загрузить сертификаты.
----5. Выберите '''Сохранить''', чтобы загрузить сертификаты.
----<big>''Избегайте ошибок несоответствия имен''</big>
----<big>''Избегайте ошибок несоответствия имен''</big>


Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле Cluster ActivGate URL для узла кластера.
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера.

Версия 16:32, 1 февраля 2022

Связь с кластерным АктивнымШлюзом возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный АктивныйШлюз требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.

Возможности настройки домена АктивногоШлюза и SSL-сертификата

Первоначально после установки кластерный АктивныйШлюз будет использовать самозаверяющий сертификат, созданный Ключ-АСТРОМ. Затем вы можете определить общедоступный IP-адрес для АктивногоШлюза и разрешить Ключ-АСТРОМ управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для АктивногоШлюза.

  • Если вы разрешите Ключ-АСТРОМ управлять доменом и генерировать сертификаты SSL, то каждый кластерный АктивныйШлюз с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
  • Если вы не разрешите Ключ-АСТРОМ генерировать сертификаты SSL для АктивногоШлюза, АктивныйШлюз продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в АктивныйШлюз через консоль управления кластером или с помощью Cluster REST API v1.

Не настраивайте сертификат SSL непосредственно на устройстве

Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный АктивныйШлюз, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Ключ-АСТРОМ.

Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.


Настройте Ключ-АСТРОМ для управления доменом и сертификатом для кластерного АктивногоШлюза

Если вы хотите разрешить Ключ-АСТРОМ управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:

  • Выберите АктивныйШлюз в разделе Состояние развертывания > АктивныеШлюзы и укажите общедоступный IP-адрес для кластерного АктивногоШлюза.
  • Для узла кластера в меню Ключ-АСТРОМ выберите Настройки > Общедоступные эндпоинты и убедитесь, что включен параметр Включить управление доменным именем и сертификатами SSL.

Настройте собственное доменное имя и сертификат для кластерного АктивногоШлюза

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

  • Сертификат сервера (.cer или .cert)
  • Корневые и промежуточные сертификаты (.cer или .cert)
  • Приватный ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

  • encrypted.ssl.key - это имя файла вашего зашифрованного приватного ключа SSL.
  • decrypted.ssl.key - это выходной файл для вашего расшифрованного приватного ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.


Укажите домен и отключите автоматическое управление доменом и сертификатами

Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Ключ-АСТРОМ перейдите в Настройки > Общедоступные эндпоинты. Затем отключите параметр Включить управление доменным именем и сертификатами SSL.

Затем укажите свое собственное доменное имя в поле URL кластерного АктивногоШлюза.

Загрузите свой доверенный сертификат

Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный АктивныйШлюз, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:

1. Войдите в Ключ-АСТРОМ Managed как администратор.

2. На странице Состояние развертывания выберите АктивныйШлюз, который нужно настроить.

3. На странице выбранного АктивногоШлюза выберите Изменить SSL-сертификат.

4. Вы можете вставить или загрузить сертификаты.

  • Приватный ключ: ваш приватный ключ.
  • Сертификат публичного ключа: сертификат вашего сервера.
  • Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----


5. Выберите Сохранить, чтобы загрузить сертификаты.


Избегайте ошибок несоответствия имен

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного АктивногоШлюза для узла кластера.