Перейти к основному содержимому
Версия: Indeed Access Manager 9.2

Генерация служебных сертификатов

Добавьте следующие сертификаты в каталог ssl/:

  • ssl/<серверный сертификат>.pfx — серверный сертификат, выписанный на DNS-имя машины.

  • ssl/ca/<публичный сертификат>.cer — публичный сертификат домена в формате Base64. Если публичный сертификат выдан не доменным удостоверяющим центром (УЦ), добавьте публичный сертификат стороннего УЦ.

Запуск скриптов

Чтобы настроить работу встроенного сертификата, запустите следующие скрипты в каталоге ssl. Убедитесь, что в каталоге ssl находятся только скрипты и добавленные ранее сертификаты.

  • convertPfxForReverseProxy.sh
  • convertPfxForReverseProxy_ik_external.sh
  • generateHttpsCerts.sh
  • generateSamlCerts.sh
  • generateSmsCert.sh
  • prepareCaFile.sh

Перед запуском скриптов ограничьте права запуска для всех пользователей системы, не имеющих прав sudo. Для этого, находясь в каталоге ssl, выполните команду sudo chmod 400 *.sh.

  1. Сконвертируйте .pfx в сертификат HAProxy:

    sudo bash ./convertPfxForReverseProxy.sh -f <серверный сертификат>.pfx -p <пароль>

    Результат: создается серверный сертификат am/ssl/https/reverse_proxy_server.pem, предоставляющий HAProxy для внешних клиентов (Api Core, WebUI MC, UC и IDP).

  2. При установке Indeed Key Server сконвертируйте .pfx в сертификат HAProxy:

    sudo bash ./convertPfxForReverseProxy_ik_external.sh -f <серверный сертификат>.pfx -p <пароль>

    Результат: создается серверный сертификат am/ssl/https/reverse_proxy_server_ik.pem, предоставляющий HAProxy для внешних клиентов к Indeed Key Server.

  3. Сгенерируйте HTTPS-сертификаты контейнеров, используемые внутри сети Docker. 

    sudo bash ./generateHttpsCerts.sh

    Результат: создаются сертификаты am/ssl/https/<service>.pfx для сервисов Core, MC, UC, IDP и Log Server. Расположение и пароли сертификатов указаны в конфигурационных файлах компонентов.

  4. Сгенерируйте служебные сертификаты, которые используются в IDP при SAML-соединении.

    sudo bash ./generateSamlCerts.sh

    Результат: создается три сертификата am/ssl/saml_certs/<service>.pfx. Расположение и пароли сертификатов указаны в конфигурационных файлах компонентов UC, MC и IDP.

    Примечание

    При использовании балансировщика нагрузки добавьте каталог saml_certs с содержимым на всех серверах.

  1. Сгенерируйте сертификат, которому будут доверять контейнеры.

    sudo bash ./prepareCaFile.sh

    Результат: создается сертификат am/ssl/ca/trusted_ca.crt, который содержит список всех добавленных в am/ssl/ca публичных сертификатов.

    Примечание

    При изменении состава каталога am/ssl/ca необходимо перезапустить скрипт prepareCaFile.sh.