База знаний
6С чего начать? 30Indeed Privileged Access Manager 68Indeed Certificate Manager 141Indeed Access Manager 8 46Indeed Access Manager 7 234Indeed Access Manager 6 85Indeed Enterprise Single Sign-On 2Документация по продуктам
База знаний: Indeed Access Manager 8 > Технические вопросы
Обновление сертификатов для серверов Indeed
Автор Maksim Efanov, Last modified by Mariya Vorozhba на 22 февраля 2024 10:55 PM

Обновление сертификатов IIS для Indeed AM core

Для обновления потребуется сертификат, выпущенный центром сертификации (CA) домена в формате .pfx. Данный сертификат необходимо добавить в личное хранилище сервера Indeed AM. При добавлении понадобится пароль для импорта закрытого ключа. После этого:

  1. Откройте IIS.
  2. Перейдите на Default Web Site
  3. Откройте Bindings(Привязки)

  4. Перейдите в необходимую https привязку.
  5. В выпадающем меню SSL certificate выберите сертификат.

  6. Нажмите OK.

Обновление сертификатов IIS для Indeed Key

По умолчанию на Indeed Key сервере используются 2 порта:

  1. Внутренний, для взаимодействия Indeed AM core с Indeed Key в доменной сети.
  2. Внешний, для взаимодействия приложения на телефоне и сервера Indeed Key.

Внутренний сертификат в формате .pfx выпускается доменным CA, добавляется в личные на Indeed Key сервере и устанавливается на внутренний порт.

Внешний сертификат в формате .pfx должен быть выпущен внешним CA для доверия со стороны приложения, добавлен в личные на Indeed Key и установлен на внешний порт.

Данный сертификат может быть выписан нами. Проверить какой сертификат используется в данный момент, можно открыв сайт Indeed Key по внешнему порту в браузере. Если в цепочке сертификатов будет корневой сертификат Indeed, то сертификат был выписан нами.

Либо можно проверить в самом сертификате.

Установка сертификатов аналогична описанной ранее.

Обновление сертификата на HAProxy

На балансировщике необходимо обновить сертификат, указанный в разделе frontend. Сертификат должен быть в формате .pem и содержать расшифрованный ключ и сам сертификат.

Если есть сертификат в формате .pfx, то его можно конвертировать в формат .pem, например с помощью openssl:

  1. Извлечь из сертификата зашифрованный приватный ключ. Для этого выполните команду (Потребуется указать пароль, заданный при экспорте сертификата):
    openssl pkcs12 -in <Путь до вашего сертификата в формате pfx> -nocerts -out <Путь куда будет извлечен ключ>
  2. Извлечь сертификат в формате crt. Для этого выполните команду:
    openssl pkcs12 -in <Путь до вашего сертификата в формате pfx> -clcerts -nokeys -out <Путь куда будет извлечен сертификат в формате crt>
  3. Расшифровать приватный ключ. Для этого выполните команду (Потребуется указать пароль, заданный при экспорте сертификата):
    openssl rsa -in <Путь до извлеченного ключа> -out <Путь куда будет извлечен расшифрованный ключ>
  4. Объеденить расшифрованный ключ и сертификат в формате crt и скопировать в папку /etc/ssl/private/ . Для этого выполните команду:
    sudo bash -c 'cat <Путь до извлеченного расшифрованного ключа> <Путь до сертификата в формате crt> >> /etc/ssl/private/<Имя сертификата с форматом pem>'

Затем:

  1. Скопировать сертификат в необходимую директорию. Эта директория указана в конфигурационном файле HAProxy, в разделе global.

  2. Указать название сертификата в разделе frontend.

  3. Если директория в пункте global не указана, то в frontend нужно указать полный путь к сертификату.
  4. После внесения изменений в файл конфигурации, перезапустите HAProxy: sudo systemctl restart haproxy.
(1 голос(а))
Эта статья полезна
Эта статья бесполезна
Комментарии (0)
Добавить новый комментарий
 
 
Полное имя:
Email:
Комментарии: