Перейти к содержанию

Пользовательские SSL-сертификаты

Сертификат должен называться ssl.crt, а ключ ssl.key.

Первоначальная установка Space Disp

  1. Перед установкой Space Disp на хосте, подготовленном для роли Leader, необходимо создать каталог хранения SSL-сертификатов командой:

    sudo mkdir -p /opt/multivdi/ssl

  2. Скопировать в каталог /opt/multivdi/ssl сертификат и ключ SSL (закрытый и открытый).

    Пример

    $ ls -la /opt/multivdi/ssl/
итого 16
drwxr-xr-x 2 root root 4096 авг 18 10:25 .
drwxr-xr-x 3 root root 4096 авг 16 12:59 ..
-rw-r--r-- 1 root root 1449 авг 18 10:25 ssl.crt
-rw------- 1 root root 1705 авг 18 10:25 ssl.key

Обновление SSL-сертификатов

  1. Для обновления SSL-сертификатов на существующей инфраструктуре необходимо скопировать (на все узлы) в каталог /opt/multivdi/ssl сертификат и ключ (открытый и закрытый).

    Пример

    $ ls -la /opt/multivdi/ssl/
итого 16
drwxr-xr-x 2 root root 4096 авг 18 10:25 .
drwxr-xr-x 3 root root 4096 авг 16 12:59 ..
-rw-r--r-- 1 root root 1449 авг 18 10:25 ssl.crt
-rw------- 1 root root 1705 авг 18 10:25 ssl.key

    Примечание

    Если требуется использование собственного параметра для обмена ключами (параметра Диффи-Хеллмана) для nginx, необходимо в каталог /opt/multivdi/ssl на всех узлах диспетчера разместить пользовательский файл dhparam.pem.

  2. Примонтировать установочный iso-образ Space Disp (начиная с версии 5.3) и запустить выполнение ssl (на всех узлах) командой: 

    sudo bash /media/cdrom/install.sh ssl

    Происходит выполнение полной замены SSL-сертификатов в кластере Docker Swarm через последовательное пересоздание всего стека, а также перезагрузка Apache:

    • Выполняется проверка наличия пользовательских SSL сертификатов:
      • ssl.crt, ssl.key — обязательные файлы, без них невозможно выполнить обновление.
      • dhparam.pem — опциональный файл.
    • Происходит удаление существующего стека.
    • Осуществляется замена Docker Secrets.
    • Создается новый стек.
    • Выполняется обновление Apache с новыми сертификатами.

  3. Проверить, что сертификаты обновились. Для этого необходимо в окне браузера открыть https://server_ip_address.