Замена SSL-сертификата узла кластера

Чтобы заменить SSL-сертификат узла кластера:

1. Запустите командную оболочку операционной системы на узле кластера для выполнения команд с полномочиями суперпользователя (администратора системы).
2. Поместите файлы сертификата (cert.pem) и приватного ключа (key.pem) в директорию /root.
3. Перейдите в директорию с конфигурационными файлами веб-сервера с помощью команды:

   cd /var/opt/kaspersky/ksmg/certs

4. Создайте резервные копии файлов действующего сертификата и приватного ключа с помощью команд:

   cp -p webapi.crt webapi.crt.backup

   cp -p webapi.key webapi.key.backup

   cp -p dhparam.pem dhparam.pem.backup

5. Замените содержимое файлов сертификата и приватного ключа с помощью команд:

   cat /root/cert.pem > webapi.crt

   cat /root/key.pem > webapi.key

6. Сгенерируйте параметры DH c помощью команды:

   openssl dhparam -out dhparam.pem 4096

   Генерация параметров DH может занять 10–20 минут. Дождитесь окончания выполнения операции.

7. Укажите права доступа к измененным файлам с помощью команд:

   chown root:root webapi.crt

   chmod 644 webapi.crt

   chown kluser:root webapi.key

   chmod 600 webapi.key

   chown root:root dhparam.pem

   chmod 644 dhparam.pem

8. Перезапустите сервис nginx с помощью команды:

   systemctl restart nginx

9. Проверьте статус сервиса nginx с помощью команды:

   systemctl status nginx

   Для сервиса должен быть статус running.

10. Откройте в браузере веб-интерфейс узла кластера. В случае успешной замены сертификата предупреждение о небезопасном соединении не отображается.
11. Если замена завершилась успешно, удалите исходные файлы сертификата и приватного ключа из директории /root с помощью команды:

    rm -f /root/cert.pem /root/key.pem

Замена SSL-сертификата узла кластера будет завершена. Если вы хотите заменить сертификат на нескольких узлах кластера, вам требуется выполнить шаги инструкции на каждом узле.