Использование сертификатов для публичных служб Open Single Management Platform

Для работы с публичными службами Open Single Management Platform вы можете использовать самоподписанные или пользовательские сертификаты. По умолчанию Open Single Management Platform использует самоподписанные сертификаты.

Сертификаты необходимы для следующих публичных служб Open Single Management Platform:

• <console_host>.<smp_domain> – доступ к интерфейсу Консоли OSMP.
• <admsrv_host>.<smp_domain> – взаимодействие с Сервером администрирования.
• <api_host>.<smp_domain> – доступ к API Open Single Management Platform.

FQDN публичных служб Open Single Management Platform состоят из имен устройств и доменного имени, указанных в конфигурационном файле. Список адресов публичных служб Open Single Management Platform, для которых при развертывании определяются самоподписанные или пользовательские сертификаты, указывается в параметре установки pki_fqdn_list.

Пользовательский сертификат должен быть указан как файл в формате PEM, содержащий полную цепочку сертификатов (или только один сертификат) и незашифрованный закрытый ключ.

Вы можете указать промежуточный сертификат из инфраструктуры закрытых ключей (PKI) вашей организации. Пользовательские сертификаты для публичных служб Open Single Management Platform выдаются из этого пользовательского промежуточного сертификата. Также вы можете указать конечные сертификаты для каждой публичной службы. Если конечные сертификаты указаны только для части публичных служб, то для остальных публичных служб выдаются самоподписанные сертификаты.

Для публичных служб <console_host>.<smp_domain> и api.<smp_domain> пользовательские сертификаты можно указать только перед развертыванием в конфигурационном файле. Чтобы использовать пользовательский промежуточный сертификат, укажите параметры установки intermediate_bundle и intermediate_enabled.

Если вы хотите использовать конечные пользовательские сертификаты для работы с публичными службами Open Single Management Platform, укажите соответствующие параметры установки console_bundle, admsrv_bundle и api_bundle. Установите для параметра intermediate_enabled значение false и не указывайте параметр intermediate_bundle.

Для службы <admsrv_host>.<smp_domain> вы можете заменить выданный самоподписанный сертификат Сервера администрирования пользовательским сертификатом с помощью утилиты klsetsrvcert.

Автоматический перевыпуск сертификатов не поддерживается. Примите во внимание срок действия сертификата и обновите сертификат, когда срок его действия истечет.

Чтобы обновить пользовательские сертификаты:

1. На устройстве администратора выполните экспорт текущей версии конфигурационного файла.
2. В экспортированном конфигурационном файле укажите путь к новому пользовательскому промежуточному сертификату в параметре установки intermediate_bundle. Если вы используете конечные пользовательские сертификаты для каждой публичной службы, укажите параметры установки console_bundle, admsrv_bundle и api_bundle.
3. Выполните следующую команду и укажите полный путь к измененному конфигурационному файлу:

   ./kdt apply -i <полный_путь_к_конфигурационному_файлу>

Пользовательские сертификаты обновлены.

В начало