Управление SSL-сертификатом узла кластера
03 июля 2024
ID 234112
По умолчанию Kaspersky Secure Mail Gateway 2.0 MR1 в качестве SSL-сертификата узла кластера использует самоподписанный сертификат, который генерируется автоматически при развертывании узла кластера. При входе в веб-интерфейс приложения с этим сертификатом в браузере отображается предупреждение о том, что соединение небезопасно. Для повышения удобства и безопасности при работе в веб-интерфейсе приложения вы можете заменить сертификат узла, который используется по умолчанию, на сертификат, выписанный доверенным центром сертификации.
Для замены SSL-сертификата узла кластера вам потребуются следующие файлы:
- Файл сертификата формата X.509 с расширением PEM или файл-контейнер с цепочкой сертификатов формата X.509 с расширением PEM.
- Файл приватного ключа RSA с расширением PEM (без парольной фразы).
Вы можете подготовить файл приватного ключа и сертификат для подписи самостоятельно или можете получить готовые файлы от удостоверяющего центра.
Этапы замены SSL-сертификата узла кластера при самостоятельном создании файлов приватного ключа и сертификата
- Создание файла приватного ключа и запроса на подпись сертификата (Certificate Signing Request)
Вы получите от удостоверяющего центра один из следующих файлов:
- файл подписанного сертификата формата X.509 с расширением CER или CRT;
- файл цепочки сертификатов в формате PKCS#7 с расширением P7B. Файл включает подписанный по вашему запросу сертификат сайта и сертификаты промежуточных центров сертификации.
- Конвертация полученных файлов в PEM-кодировку
В зависимости от типа файла, полученного на предыдущем этапе, следует выполнить одно из следующих действий:
- Замена SSL-сертификата узла кластера
Этапы замены SSL-сертификата узла кластера при предоставлении файлов приватного ключа и сертификата удостоверяющим центром
- Получение файлов приватного ключа и сертификата от удостоверяющего центра
Приватный ключ и сертификат предоставляются в виде PFX-контейнера (формат PKCS#12, файл с расширением PFX или P12).
Если в качестве удостоверяющего центра в вашей организации используется стандартная служба Active Directory Certification Services, следует использовать шаблон Web Server для создания сертификата. Вам нужно сохранить результат в виде цепочки сертификатов (certificate chain) в DER-кодировке.
- Извлечение файлов сертификата и приватного ключа из PFX-контейнера
- Замена SSL-сертификата узла кластера