Настройка SSL-сертификата для кластерного ActiveGate: различия между версиями

Материал из Dynatrace
 
(не показано 5 промежуточных версий 2 участников)
Строка 1: Строка 1:
Связь с Cluster ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи Cluster ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.
Связь с кластерным ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.


== Возможности настройки домена ActiveGate и SSL-сертификата ==
== Возможности настройки домена ActiveGate и SSL-сертификата ==
Первоначально после установки Cluster ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить общедоступный IP-адрес для ActiveGate и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate.
Первоначально после установки кластерный ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить '''общедоступный IP-адрес для ActiveGate''' и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate.


* Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый Cluster ActiveGate с общедоступным IP-адресом получит выделенный веб-домен (поддомен dynatrace-managed.com) и доверенный сертификат SSL.
* Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый кластерный ActiveGate с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
* Если вы не разрешаете Dynatrace генерировать сертификаты SSL для ActiveGates, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через Консоль управления кластером или с помощью Cluster REST API v1.
* Если вы не разрешите Dynatrace генерировать сертификаты SSL для ActiveGate, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через консоль управления кластером или с помощью Cluster REST API v1.


----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>
----<big>''Не настраивайте сертификат SSL непосредственно на устройстве''</big>


Не пытайтесь настроить SSL-сертификаты непосредственно на свой Cluster ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace.
Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace.


'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
'''Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.'''
----
----


== Настройте Dynatrace для управления доменом и сертификатом для Cluster ActiveGate ==
== Настройте Dynatrace для управления доменом и сертификатом для кластерного ActiveGate ==
Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:
Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:


* Выберите ActiveGate в разделе «Состояние развертывания»> «ActiveGates» и укажите общедоступный IP-адрес для Cluster ActiveGate.
* Выберите ActiveGate в разделе '''Состояние развертывания''' > '''ActiveGate''' и укажите общедоступный IP-адрес для кластерного ActiveGate.
* Для узла кластера в меню Dynatrace выберите «Настройки»> «Общедоступные конечные точки» и убедитесь, что включен параметр «Включить управление доменным именем и сертификатами SSL».
* Для узла кластера в меню Dynatrace выберите '''Настройки''' > '''Общедоступные эндпоинты''' и убедитесь, что включен параметр '''Включить управление доменным именем и сертификатами SSL'''.


== Настройте собственное доменное имя и сертификат для Cluster ActiveGate ==
== Настройте собственное доменное имя и сертификат для кластерного ActiveGate ==


=== Прежде чем вы начнете ===
=== Прежде чем вы начнете ===
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):
*Сертификат сервера (.cer или .cert)
*Сертификат сервера (<code>.cer</code> или <code>.cert</code>)
*Корневые и промежуточные сертификаты (.cer или .cert)
*Корневые и промежуточные сертификаты (<code>.cer</code> или <code>.cert</code>)
*Закрытый ключ для сертификатов (.pem)
*Приватный ключ для сертификатов (<code>.pem</code>)
----<big>''Зашифрованные приватные ключи''</big>
----<big>''Зашифрованные приватные ключи''</big>


Мы не поддерживаем зашифрованные закрытые ключи. Чтобы расшифровать закрытый ключ SSL, выполните следующую команду:
Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:


<code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code>
<code>openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key</code>


где
где
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного закрытого ключа SSL.
*<code>encrypted.ssl.key</code> - это имя файла вашего зашифрованного приватного ключа SSL.
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного закрытого ключа SSL.
*<code>decrypted.ssl.key</code> - это выходной файл для вашего расшифрованного приватного ключа SSL.
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>.
Команда запросит пароль и сохранит расшифрованный ключ в файле <code>decrypted.ssl.key</code>.
----
----


=== Укажите домен и отключите автоматическое управление доменом и сертификатами ===
=== Укажите домен и отключите автоматическое управление доменом и сертификатами ===
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в «Настройки»> «Общедоступные конечные точки». Затем отключите параметр Включить управление доменным именем и сертификатами SSL.
Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в '''Настройки''' > '''Общедоступные эндпоинты'''. Затем отключите параметр '''Включить управление доменным именем и сертификатами SSL'''.


Затем укажите свое собственное доменное имя в поле Cluster ActiveGate URL.
Затем укажите свое собственное доменное имя в поле URL кластерного ActiveGate.


=== Загрузите свой доверенный сертификат ===
=== Загрузите свой доверенный сертификат ===
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в Cluster ActiveGate, либо через Консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:
Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный ActiveGate, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:


1. Войдите в Dynatrace Managed как администратор.
1. Войдите в Dynatrace Managed как администратор.


2. На странице «Состояние развертывания» выберите ActiveGate, который нужно настроить.
2. На странице '''Состояние развертывания''' выберите ActiveGate, который нужно настроить.


3. На странице выбранного ActiveGate выберите Изменить сертификат SSL.
3. На странице выбранного ActiveGate выберите '''Изменить SSL-сертификат'''.


4. Вы можете вставить или загрузить сертификаты.
4. Вы можете вставить или загрузить сертификаты.


* Закрытый ключ: ваш закрытый ключ.
* '''Приватный ключ''': ваш приватный ключ.
* Сертификат открытого ключа: сертификат вашего сервера.
* '''Сертификат публичного ключа''': сертификат вашего сервера.
* Цепочка сертификатов: ваш корневой и промежуточный сертификаты.
* '''Цепочка сертификатов''': ваш корневой и промежуточный сертификаты.
----<big>''Важно''</big>
----<big>''Важно''</big>


Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.
Ключ и сертификаты должны быть в формате PEM с полными заголовками <code>BEGIN</code> и <code>END</code>.


Формат верхнего и нижнего колонтитула ключа:
'''Формат верхнего и нижнего колонтитула ключа''':


<code>-----BEGIN PRIVATE KEY-----</code>
<code>-----BEGIN PRIVATE KEY-----</code>
Строка 70: Строка 70:
<code>-----END PRIVATE KEY-----</code>
<code>-----END PRIVATE KEY-----</code>


Формат верхнего и нижнего колонтитула сертификата:
'''Формат верхнего и нижнего колонтитула сертификата''':


<code>-----BEGIN CERTIFICATE-----</code>
<code>-----BEGIN CERTIFICATE-----</code>
Строка 77: Строка 77:


<code>-----END CERTIFICATE-----</code>
<code>-----END CERTIFICATE-----</code>
----5. Выберите Сохранить, чтобы загрузить сертификаты.
----5. Выберите '''Сохранить''', чтобы загрузить сертификаты.
----<big>''Избегайте ошибок несоответствия имен''</big>
 
Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного ActiveGate для узла кластера.

Текущая версия на 10:45, 20 января 2023

Связь с кластерным ActiveGate возможна только через зашифрованные SSL-соединения. Для внешней связи кластерный ActiveGate требует общедоступного IP-адреса и доменного имени с действующим сертификатом SSL. Этот домен должен отличаться от домена веб-интерфейса.

Возможности настройки домена ActiveGate и SSL-сертификата

Первоначально после установки кластерный ActiveGate будет использовать самозаверяющий сертификат, созданный Dynatrace. Затем вы можете определить общедоступный IP-адрес для ActiveGate и разрешить Dynatrace управлять доменом и генерировать действительный сертификат SSL, подписанный центром сертификации, от вашего имени. В качестве альтернативы вы можете указать собственное доменное имя и сертификат для ActiveGate.

  • Если вы разрешите Dynatrace управлять доменом и генерировать сертификаты SSL, то каждый кластерный ActiveGate с общедоступным IP-адресом получит выделенный веб-домен и доверенный сертификат SSL.
  • Если вы не разрешите Dynatrace генерировать сертификаты SSL для ActiveGate, ActiveGate продолжит использовать самозаверяющий сертификат или сертификат, загруженный пользователем в ActiveGate через консоль управления кластером или с помощью Cluster REST API v1.

Не настраивайте сертификат SSL непосредственно на устройстве

Не пытайтесь настроить SSL-сертификаты непосредственно на свой кластерный ActiveGate, загрузив их на само устройство. Если вы это сделаете, сертификат будет перезаписан автоматическим управлением, выполняемым Dynatrace.

Загрузите свой сертификат с помощью консоли управления кластером или Cluster REST API v1.


Настройте Dynatrace для управления доменом и сертификатом для кластерного ActiveGate

Если вы хотите разрешить Dynatrace управлять доменом и сертификатом, используйте консоль управления кластером для настройки следующих параметров:

  • Выберите ActiveGate в разделе Состояние развертывания > ActiveGate и укажите общедоступный IP-адрес для кластерного ActiveGate.
  • Для узла кластера в меню Dynatrace выберите Настройки > Общедоступные эндпоинты и убедитесь, что включен параметр Включить управление доменным именем и сертификатами SSL.

Настройте собственное доменное имя и сертификат для кластерного ActiveGate

Прежде чем вы начнете

Вам понадобится сертификат SSL и файлы ключей, полученные от центра сертификации (CA):

  • Сертификат сервера (.cer или .cert)
  • Корневые и промежуточные сертификаты (.cer или .cert)
  • Приватный ключ для сертификатов (.pem)

Зашифрованные приватные ключи

Мы не поддерживаем зашифрованные приватные ключи. Чтобы расшифровать приватный ключ SSL, выполните следующую команду:

openssl rsa -in encrypted.ssl.key -out decrypted.ssl.key

где

  • encrypted.ssl.key - это имя файла вашего зашифрованного приватного ключа SSL.
  • decrypted.ssl.key - это выходной файл для вашего расшифрованного приватного ключа SSL.

Команда запросит пароль и сохранит расшифрованный ключ в файле decrypted.ssl.key.


Укажите домен и отключите автоматическое управление доменом и сертификатами

Чтобы предоставить собственное доменное имя и сертификат, в консоли управления кластером выберите узел кластера и в меню Dynatrace перейдите в Настройки > Общедоступные эндпоинты. Затем отключите параметр Включить управление доменным именем и сертификатами SSL.

Затем укажите свое собственное доменное имя в поле URL кластерного ActiveGate.

Загрузите свой доверенный сертификат

Если вы хотите использовать свой собственный сертификат или сертификат, выпущенный CA, загрузите или вставьте сертификат в кластерный ActiveGate, либо через консоль управления кластером, либо через Cluster REST API v1. Следующие шаги показывают процедуру с использованием консоли управления кластером:

1. Войдите в Dynatrace Managed как администратор.

2. На странице Состояние развертывания выберите ActiveGate, который нужно настроить.

3. На странице выбранного ActiveGate выберите Изменить SSL-сертификат.

4. Вы можете вставить или загрузить сертификаты.

  • Приватный ключ: ваш приватный ключ.
  • Сертификат публичного ключа: сертификат вашего сервера.
  • Цепочка сертификатов: ваш корневой и промежуточный сертификаты.

Важно

Ключ и сертификаты должны быть в формате PEM с полными заголовками BEGIN и END.

Формат верхнего и нижнего колонтитула ключа:

-----BEGIN PRIVATE KEY-----

(Private Key)

-----END PRIVATE KEY-----

Формат верхнего и нижнего колонтитула сертификата:

-----BEGIN CERTIFICATE-----

(SSL Certificate)

-----END CERTIFICATE-----


5. Выберите Сохранить, чтобы загрузить сертификаты.


Избегайте ошибок несоответствия имен

Ваш сертификат связан с определенным именем хоста. Чтобы избежать ошибки несоответствия имен, убедитесь, что общее имя (доменное имя) в сертификате SSL совпадает с адресом, который вы указали в поле URL кластерного ActiveGate для узла кластера.