Работа с сертификатами веб-консоли KUMA в отказоустойчивой конфигурации
Изменение самоподписанного сертификата веб-консоли
Чтобы заменить самоподписанный сертификат веб-консоли KUMA на корпоративный сертификат:
- Подключитесь к главному контроллеру кластера по ssh:
ssh <имя пользователя>@<FQDN главного контроллера> - Перейдите в домашний каталог пользователя или создайте новый каталог для дальнейших операций и перейдите в него.
- Скопируйте действующие сертификат и ключ в качестве резервной копии в текущий каталог на контроллере кластера следующими командами:
export POD=$(k0s kubectl get pods --namespace kuma -l "app=core" -o jsonpath="{.items[0].metadata.name}")sudo k0s kubectl cp --no-preserve -c core kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.cert ./external.cert.oldsudo k0s kubectl cp --no-preserve -c core kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.key ./external.key.old - Подготовьте пользовательские сертификат и ключ для замены.
В OpenSSL конвертируйте файл PFX в сертификат и зашифрованный ключ в формате PEM:
sudo openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nokeys -out external.certsudo openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nocerts -nodes -out external.keyПри выполнении команды потребуется указать пароль от ключа PFX (Enter Import Password).
В результате получен сертификат external.cert и ключ external.key в формате PEM.
- Поместите полученные файлы сертификата external.cert и ключа external.key в текущий каталог на контроллере кластера и, затем, скопируйте их в файловую систему пода ядра KUMA следующими командами:
export POD=$(k0s kubectl get pods --namespace kuma -l "app=core" -o jsonpath="{.items[0].metadata.name}")sudo k0s kubectl cp --no-preserve ./external.cert kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.cert -c coresudo k0s kubectl cp --no-preserve ./external.key kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.key -c core - Перезапустите ядро KUMA следующей командой:
sudo k0s kubectl rollout restart deployment/core-deployment -n kuma - Обновите страницу или перезапустите браузер, с помощью которого вы работаете в веб-интерфейсе KUMA.
Замена самоподписанного сертификата веб-консоли на корпоративный сертификат выполнена.
Отмена внесенных изменений
Чтобы отменить внесенные изменения и вернуться к использованию прежнего сертификата и ключа:
- Перейдите в домашний каталог пользователя на главном контроллере и выполните следующие команды:
sudo export POD=$(k0s kubectl get pods --namespace kuma -l "app=core" -o jsonpath="{.items[0].metadata.name}")sudo k0s kubectl cp --no-preserve ./external.cert.old kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.cert -c coresudo k0s kubectl cp --no-preserve ./external.key.old kuma/$POD:/opt/kaspersky/kuma/core/certificates/external.key -c core - Перезапустите Ядро KUMA с помощью следующей команды:
sudo k0s kubectl rollout restart deployment/core-deployment -n kuma - Обновите страницу или перезапустите браузер, с помощью которого вы работаете в веб-интерфейсе KUMA.
Изменения отменены, используется прежний сертификат и ключ веб-консоли.
