...

Обновление SSL сертификатов в поставке KiND

Тема в разделе "Администрирование On-Premises", создана пользователем samatov.in, 30 окт 2024.

  1. samatov.in

    samatov.in Участник

    Для подключения или обновления ssl необходимо 2 сертификата:
    • xxx_ru_fullchain.crt (директива: ELMA365_TLS_CRT) цепочка сертификатов объединенная в один файл;
    • private.key (директива: ELMA365_TLS_KEY) приватный ключ передается вместе с сертификатом и является его неотъемлемой частью (не нужно генерировать его самостоятельно и так-же он не подойдет от предыдущего сертификата.
    Сертификаты необходимо объединить в один файл (в одну цепочку), следующим образом и порядке:
    1. конечный (на домен);
    2. промежуточные;
    3. корневой.

    Как собрать цепочку:

    Предположим, файл корневого сертификата называется rootCA.crt, файл промежуточного interm.crt, конечный сертификат у вас уже есть xxx_ru_2024_10_21.crt Достаточно объединить все эти сертификаты в один командой cat xxx_ru_2024_10_21.crt interm.crt rootCA.crt > fullchain.crt Затем в настройках ELMA365 нужно указать путь к fullchain.crt и private.key
    Обновление сертификатов:
    sudo ./elma365-installer-docker.sh --reload-cert
    Затем выполнить команду:
    sudo ./elma365-installer-docker.sh --reconfigure
    Так-же по идее сертификаты должны затаскиваться через команду:
    sudo ./elma365-installer-docker.sh --upgrade
    Замечание:
    • Перед обновлением сертификатов обязательно снять бекапы и снепшоты систем;
    • Убедится в корректном в корректном синтаксисе файлов с ключами (обратить внимание на старт и окончание секций в файле с цепочкой и на отсутствие невидимых символов в файлах с сертификатами через редактор mcedit. ВНИМАНИЕ: редактор nano и notepad++ – спецсимволы не видят!!!)
    • Ни в коем случае не производить обновление сертификатов с одновременным обновлением версии самой платформы!!!
    • Если Элма в процессе обновления зависла, то отключаем сертификаты, ребилдим ядро элмы и после того как элма поднимется и начнет работать по протоколу http, мы повторно включаем поддержку ssl сертификатов и пересобираем ядро Элмы еще раз.
    • Обновлений сертификатов обычно требует не только сама платформа elma365, но и сопутствующие сервисы, например в нашем случае такие как:
      • onlyoffice;
      • s3;
      • и т.д.