Сертификаты
Подготовьте сертификаты перед установкой Indeed PAM. У всех сертификатов должен быть один и тот же пароль.
Все сертификаты, кроме сертификата удостоверяющего центра, должны быть в формате .pfx.
Сертификат удостоверяющего центра должен быть в формате .crt.
- Инсталляция без балансировки
- Отказоустойчивая инсталляция с HAProxy
- Отказоустойчивая инсталляция со сторонним балансировщиком
Вам понадобятся следующие сертификаты:
- Сертификат удостоверяющего центра без приватного ключа в формате PEM (Base64) с расширением
.crt. - Сертификат на FQDN PAM с приватным ключом в формате
.pfx. - Сертификаты на все серверы доступа RDP, RDS и PostgreSQL с приватным ключом в формате
.pfx. Кроме случая, когда сервер доступа установлен на одном хосте с сервером управления.
Вам понадобятся следующие сертификаты:
- Сертификат удостоверяющего центра без приватного ключа в формате PEM (Base64) с расширением
.crt. - Сертификат на FQDN PAM с приватным ключом в формате
.pfx. - Сертификаты на все серверы управления с приватным ключом в формате
.pfx. - Сертификаты на все серверы доступа RDP, RDS и PostgreSQL с альтернативными именами всех балансировщиков и FQDN PAM с приватным ключом в формате
.pfx. Кроме случая, когда сервер доступа установлен на одном хосте с сервером управления.
Если на одном хосте планируется расположить балансировщик и сервер управления, то потребуется сертификат с альтернативным именем FQDN PAM.
При использовании vIP в каждом сертификате балансировщика нужно альтернативное имя FQDN PAM.
Если есть серверы доступа на Windows, то их сертификаты должны содержать FQDN PAM или быть такими же, как для FQDN PAM, иначе проверка сертификатов в мастере приведет к ошибке.
Вам понадобятся следующие сертификаты:
- Сертификат удостоверяющего центра без приватного ключа в формате PEM (Base64) с расширением
.crt. - Сертификаты на все серверы управления с приватным ключом в формате
.pfx. - Сертификаты на все серверы доступа RDP, RDS и PostgreSQL с альтернативными именами всех балансировщиков и FQDN PAM с приватным ключом в формате
.pfx. Кроме случая, когда сервер доступа установлен на одном хосте с сервером управления. - Сертификаты на все балансировщики с приватным ключом в формате
.pfx.
Если на одном хосте планируется расположить балансировщик и сервер управления, то потребуется сертификат с альтернативным именем FQDN PAM.
При использовании vIP в каждом сертификате балансировщика нужно альтернативное имя FQDN PAM.
Доступно использование wildcard-сертификата. В этом случае сертификат должен быть выпущен на весь домен или иметь в альтернативных именах адреса всех хостов PAM.
Для корректной работы LDAPS поместите корневой сертификат в IndeedPAM_3.0_RU\indeed-pam\state\ca-certificates перед запуском мастера.