Использование сертификатов для публичных служб Open Single Management Platform

Для работы с публичными службами Open Single Management Platform вы можете использовать самоподписанные или пользовательские сертификаты. По умолчанию Open Single Management Platform использует самоподписанные сертификаты.

Сертификаты необходимы для следующих публичных служб Open Single Management Platform:

• console.<smp_domain> – доступ к функционалу Консоли OSMP.
• admsrv.<smp_domain> – доступ к функционалу Сервера администрирования.
• api.<smp_domain> – доступ к функциональности Open Single Management Platform API.

Список адресов публичных служб Open Single Management Platform, для которых при развертывании определяются самоподписанные или пользовательские сертификаты, указывается в параметре установки pki_fqdn_list.

Пользовательский сертификат должен быть указан как файл в формате PEM, содержащий полную цепочку сертификатов (или только один сертификат) и незашифрованный закрытый ключ.

Вы можете указать промежуточный сертификат из инфраструктуры закрытых ключей (PKI) вашей организации. Пользовательские сертификаты для публичных служб Open Single Management Platform выдаются из этого пользовательского промежуточного сертификата. Также вы можете указать конечные сертификаты для каждой публичной службы. Если конечные сертификаты указаны только для части публичных служб, то для остальных публичных служб выдаются самоподписанные сертификаты.

Для публичных служб console.<smp_domain> и api.<smp_domain> пользовательские сертификаты можно указать только перед развертыванием в конфигурационном файле. Чтобы использовать пользовательский промежуточный сертификат, укажите параметры установки intermediate_bundle и intermediate_enabled.

Если вы хотите использовать конечные пользовательские сертификаты для работы с публичными службами Open Single Management Platform, укажите соответствующие параметры установки console_bundle, admsrv_bundle и api_bundle. Установите для параметра intermediate_enabled значение false и не указывайте параметр intermediate_bundle.

Для службы admsrv.<smp_domain> вы можете заменить выданный самоподписанный сертификат Сервера администрирования пользовательским сертификатом с помощью утилиты klsetsrvcert.

Автоматическая ротация сертификатов не поддерживается. Примите во внимание срок действия сертификата и обновите сертификат, когда срок его действия истечет.

Чтобы обновить пользовательские сертификаты:

1. На устройство администратора экспортируйте текущую версию конфигурационного файла.
2. В экспортированном конфигурационном файле укажите путь к новому пользовательскому промежуточному сертификату в параметре установки intermediate_bundle. Если вы используете конечные пользовательские сертификаты для каждой публичной службы, укажите параметры установки console_bundle, admsrv_bundle и api_bundle.
3. Выполните следующую команду и укажите путь к измененному конфигурационному файлу:

   ./kdt apply -i <path_to_configuration_file>

Пользовательские сертификаты обновлены.

В начало