Изменение самоподписанного сертификата веб-консоли

Перед изменением сертификата KUMA сделайте резервную копию действующего сертификата и ключа с именами external.cert.old и external.key.old.

После установки Ядра KUMA установщик создает следующие сертификаты в папке /opt/kaspersky/kuma/core/certificates:

• Самоподписанный корневой сертификат ca.cert с ключом ca.key.

  Подписывает все другие сертификаты, которые используются для внутренней связи между компонентами KUMA.

• Сертификат internal.cert, подписанный корневым сертификатом, и ключ internal.key сервера Ядра.

  Используется для внутренней связи между компонентами KUMA.

• Сертификат веб-консоли KUMA external.cert и ключ external.key.

  Используется в веб-консоли KUMA и для запросов REST API.

  Вы можете использовать сертификат и ключ своей компании вместо самоподписанного сертификата веб-консоли. Например, если вы хотите заменить сертификат веб-консоли с самоподписанного CA Core на сертификат, выпущенный корпоративным CA, необходимо предоставить external.cert и незашифрованный external.key в формате PEM.

  В следующем примере показано, как заменить самоподписанный CA Core с помощью корпоративного сертификата в формате PFX. Вы можете использовать инструкцию в качестве примера и адаптировать шаги в соответствии со своми потребностями.

Чтобы заменить сертификат веб-консоли KUMA на сертификат external:

1. Переключитесь на работу под пользователем с правами root:

   sudo -i

2. Перейдите в директорию с сертификатами:

   cd /opt/kaspersky/kuma/core/certificates

3. Сделайте резервную копию действующего сертификата и ключа:

   mv external.cert external.cert.old && mv external.key external.key.old

4. В OpenSSL конвертируйте файл PFX в сертификат и зашифрованный ключ в формате PEM:

   openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nokeys -out external.cert

   openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nocerts -nodes -out external.key

   При выполнении команды потребуется указать пароль от ключа PFX (Enter Import Password).

   В результате получен сертификат external.cert и ключ external.key в формате PEM.

5. Поместите полученные файлы сертификата external.cert и ключа external.key в директорию /opt/kaspersky/kuma/core/certificates.
6. Смените владельца файлов ключа:

   chown kuma:kuma external.cert external.key

7. Перезапустите KUMA:

   systemctl restart kuma-core

8. Обновите страницу или перезапустите браузер, с помощью которого вы работаете в веб-интерфейсе KUMA.

Сертификат и ключ вашей компании заменены.

В начало