Замена SSL-сертификата узла кластера
23 ноября 2023
ID 234129
Чтобы заменить SSL-сертификат узла кластера:
- Запустите командную оболочку операционной системы на узле кластера для выполнения команд с полномочиями суперпользователя (администратора системы).
- Поместите файлы сертификата (cert.pem) и приватного ключа (key.pem) в директорию
/root
. - Перейдите в директорию с конфигурационными файлами веб-сервера с помощью команды:
cd /var/opt/kaspersky/klms/certs
- Создайте резервные копии файлов действующего сертификата и приватного ключа с помощью команд:
cp -p webapi.crt webapi.crt.backup
cp -p webapi.key webapi.key.backup
cp -p webapi-with-dhparam.crt webapi-with-dhparam.crt.backup
- Замените содержимое файлов сертификата и приватного ключа с помощью команд:
cat /root/cert.pem > webapi.crt
cat /root/key.pem > webapi.key
- Сгенерируйте параметры DH c помощью команды:
openssl dhparam -out dhparam-webapi.pem 4096
Генерация параметров DH может занять 10–20 минут. Дождитесь окончания выполнения операции.
- Добавьте параметры DH к сертификату c помощью команды:
cat webapi.crt dhparam-webapi.pem > webapi-with-dhparam.crt
- Укажите владельца сертификата и права доступа к приватному ключу сертификата с помощью команд:
chown root:root webapi.crt
chmod 644 webapi.crt
chown kluser:root webapi.key
chmod 600 webapi.key
chown root:root dhparam-webapi.pem
chmod 644 dhparam-webapi.pem
chown root:root webapi-with-dhparam.crt
chmod 644 webapi-with-dhparam.crt
- Перезапустите сервис Apache с помощью команды:
systemctl restart apache2
- Проверьте статус сервиса Apache с помощью команды:
systemctl status apache2
Для сервиса должен быть актуален статус
running
. - Откройте в браузере веб-интерфейс узла кластера. В случае успешной замены сертификата предупреждение о небезопасном соединении не отображается.
- Если замена завершилась успешно, удалите исходные файлы сертификата и приватного ключа из директории
/root
с помощью команды:rm -f /root/cert.pem /root/key.pem
Замена SSL-сертификата узла кластера будет завершена. Если вы хотите заменить сертификат на нескольких узлах кластера, вам требуется выполнить шаги инструкции на каждом узле.