Перевыпуск внутренних CA-сертификатов
Опция Перевыпустить внутренние CA-сертификаты доступна только пользователю с ролью Главный администратор.
Перевыпуск сертификатов для отдельного сервиса остается прежним: в веб-интерфейсе KUMA в разделе Активные сервисы необходимо выбрать сервис, выбрать в контекстном меню Сбросить сертификат и удалить прежний сертификат в директории установки сервиса. KUMA автоматически сгенерирует новый сертификат. Для работающих сервисов перезапуск не требуется, новый сертификат будет применен автоматически. Если сервис был остановлен, необходимо перезапустить сервис, чтобы применить новый сертификат.
Чтобы перевыпустить внутренние CA-сертификаты:
- В веб-интерфейсе KUMA перейдите в раздел Параметры → Общие, нажмите кнопку Перевыпустить внутренние CA-сертификаты и ознакомьтесь с отобразившимся предупреждением. Если вы принимаете решение продолжить перевыпуск сертификатов, нажмите Да.
В результате будут перевыпущены CA-сертификаты для сервисов KUMA и CA-сертификат для Clickhouse. Далее вам нужно будет остановить сервисы, удалить прежние сертификаты из директорий установки сервисов, перезапустить Ядро и перезапустить остановленные сервисы, чтобы применить перевыпущенные сертификаты.
- Подключитесь к хостам, где развернуты сервисы коллектора, коррелятора и маршрутизатора событий.
- Остановите все сервисы с помощью следующей команды:
sudo systemctl stop kuma-<collector/correlator/eventRouter>-<
ID сервиса
>.service
- Удалите файлы сертификатов internal.cert и internal.key из директорий /opt/kaspersky/kuma/<
тип сервиса
>/<ID сервиса
>/certificates с помощью следующей команды:sudo rm -f /opt/kaspersky/kuma/<
тип сервиса
>/<
ID сервиса
>/certificates/internal.cert
sudo rm -f /opt/kaspersky/kuma/<
тип сервиса
>/<
ID сервиса
>/certificates/internal.key
- Остановите все сервисы с помощью следующей команды:
- Подключитесь к хостам, где развернуты сервисы хранилища.
- Остановите все сервисы хранилища.
sudo systemctl stop kuma-<storage>-<
ID сервиса
>.service
- Удалите файлы сертификатов internal.cert и internal.key из директорий /opt/kaspersky/kuma/storage/<
ID сервиса
>/certificates.sudo rm -f /opt/kaspersky/kuma/storage/<
ID сервиса
>/certificates/internal.cert
sudo rm -f /opt/kaspersky/kuma/storage/<
ID сервиса
>/certificates/internal.key
- Остановите все сервисы хранилища.
- Удалите все сертификаты Clickhouse из директории /opt/kaspersky/kuma/clickhouse/certificates.
sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.cert
sudo rm -f /opt/kaspersky/kuma/clickhouse/certificates/internal.key
- Подключитесь к хостам, где развернуты сервисы агентов.
- Остановите сервисы агентов Windows и агентов Linux.
- Удалите файлы сертификатов internal.cert и internal.key из рабочих директорий агентов.
sudo /opt/kaspersky/kuma/kuma agent --core https://kuma.example.com:7210 -<
ID агента
> --wd /opt/kaspersky/kuma/agent/<
ID агента
>
- Перезапустите Ядро, чтобы применить новые CA-сертификаты.
sudo systemctl restart kuma-core-00000000-0000-0000-0000-000000000000.service
- Перезапустите все сервисы, остановленные в ходе выполнения инструкции.
sudo systemctl start kuma-<collector/correlator/eventRouter/storage>-<
ID сервиса
>.service
- Перезапустите victoria-metrics.
sudo systemctl start kuma-victoria-metrics.service
Внутренние CA-сертификаты перевыпущены и применены.