Как заменить сертификат веб интерфейса [Kaspersky Web Traffic Security]

[Egor Erastov]

Для замены сертификата веб-интерфейса подготовьте два файла:

• Файл сертификата X.509 (или цепочку сертификатов X.509) в PEM-кодировке
• Файл приватного ключа RSA в PEM-кодировке (без парольной фразы)

Самоподписаный сертификат можно сгенерировать с помощью следующей команды, указав FQDN ноды кластера в поле Common Name:

openssl req -x509 -nodes -sha256 -days 365 -newkey rsa:2048 -keyout key.pem -out cert.pem

Процедура замены сертификата веб-интерфейса:

1. Подключитесь к узлу кластера по SSH, чтобы получить доступ к режиму технической поддержки.

2. Поместите файлы сертификата (cert.pem) и приватного ключа (key.pem) в директорию /root

3. Перейдите в директорию, в которой размещаются конфигурационные файлы веб-сервера:

   cd /etc/nginx/kwts

4. Сделайте резервные копии действующих сертификата и приватного ключа

   cp -p webapi.crt webapi.crt.backup
   cp -p webapi.key webapi.key.backup

5. Замените содержимое файлов сертификата и приватного ключа при помощи команд:

   cp /root/cert.pem webapi.crt
   cp /root/key.pem webapi.key

6. Задайте владельца и права доступа:

   chown root:root webapi.crt
   chmod 644 webapi.crt
   chown kluser:root webapi.key
   chmod 600 webapi.key

7. Перезапустите сервис nginx:

   systemctl restart nginx

8. Проверьте статус сервиса nginx, он должен быть running:

   systemctl status nginx

9. Откройте в браузере веб-интерфейс узла кластера, проверьте, что используется новый сертификат.

10. Если все прошло успешно, удалите исходные файлы из директории /root

    rm -f /root/cert.pem /root/key.pem

     

На этом процедура замены сертификата веб-интерфейса завершена. Процедуру по замене сертификата веб-интерфейса необходимо выполнить на каждом узле кластера Kaspersky Web Traffic Security.