/platform/install/preparations/tls/ Recent content in Сертификаты on Hugo -- gohugo.io Tue, 06 Oct 2020 08:48:45 +0000 /2.11/platform/install/preparations/tls/selfsingned/ Mon, 16 Nov 2020 13:59:39 +0100 /2.11/platform/install/preparations/tls/selfsingned/ Если вы используете самоподписной сертификат при инсталляции, после завершения инсталляции и перехода в графический интерфейс платформы “Штурвал” в веб-браузере потребуется принять сертификат: https://shturval.<shturval_cluster_name>.<base_domain>. где: <shturval_cluster_name> - IP-адрес или Ingress вашего кластера управления; <base_domain> - ваша доменная зона или shturval.link (если вы не настраивали свою доменную зону). Чтобы заменить самоподписные на цепочку сертификатов или ACME после завершения инсталляции, воспользуйтесь инструкцией. Корпоративные и промежуточные сертификаты могут быть установлены в процессе инсталляции. Для замены сертификатов после завершения инсталляции воспользуйтесь инструкцией. /2.11/platform/install/preparations/tls/corpcert/ Mon, 16 Nov 2020 13:59:39 +0100 /2.11/platform/install/preparations/tls/corpcert/ Развернуть все Свернуть все Чтобы провести инсталляцию с корпоративным сертификатом, создайте сертификат: Сертификат cat > openssl-san.cnf <<EOF [req] default_bits = 2048 prompt = no default_md = sha256 req_extensions = req_ext distinguished_name = dn [ dn ] C=RU ST=Moscow L=Moscow O=My Company OU=Department emailAddress=admin@example.com CN = example.com [ req_ext ] subjectAltName = @alt_names [ alt_names ] DNS.1 = *.apps.corp.domain [ v3_ext ] authorityKeyIdentifier=keyid,issuer:always basicConstraints=CA:FALSE keyUsage=keyEncipherment,dataEncipherment extendedKeyUsage=serverAuth,clientAuth subjectAltName=@alt_names EOF где corp.domain - Ingress, с которым устанавливаете платформу. /2.11/platform/install/preparations/tls/intermediate/ Mon, 16 Nov 2020 13:59:39 +0100 /2.11/platform/install/preparations/tls/intermediate/ Если у вас есть промежуточный сертификат центра сертификации (Intermediate CA), подписанный вашим корпоративным центром сертификации (Certificate Authority, CA), то его можно использовать для автоматической выдачи сертификатов с помощью Cert-manager. Для этого вам необходимо создать секрет содержащий цепочку сертификатов и приватный ключ: tls.crt - это цепочка сертификатов (ваш промежуточный сертификат -> сертификат корпоративного центра сертификации) в формате PEM, tls.key - это приватный ключ от вашего промежуточного сертификата. /2.11/platform/install/preparations/tls/acme/ Mon, 16 Nov 2020 13:59:39 +0100 /2.11/platform/install/preparations/tls/acme/ Развернуть все Свернуть все Для создания сертификатов с помощью Let’s Enсrypt необходимо, чтобы ingress контроллер был доступен из сети Интернет. Для реализации этого требования должно выполняться хотя бы одно из следующих условий: Внешний балансировщик должен иметь белый (публичный) IP адрес; Должен быть указан белый (публичный) IP адрес для IngressVIP. Инструкция по созданию и установке сертификата с помощью Let’s Enсrypt # Создайте YAML-файл acme-issuer.yaml с манифестом объекта ClusterIssuer. Манифест apiVersion: cert-manager.