Корпоративный

Сертификаты при инсталляции устанавливаются в графическом интерфейсе на этапе создания постоянного кластера управления.

  1. Чтобы провести инсталляцию с корпоративным сертификатом, создайте сертификат.

Обратите внимание! Для корректной работы команд потребуется OpenSSL версии не ниже 3.0.

Сертификат 
cat > openssl-san.cnf <<EOF
[req]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C=RU
ST=Moscow
L=Moscow
O=My Company
OU=Department
emailAddress=admin@example.com
CN = example.com

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = *.clustername.corp.domain

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names
EOF

где corp.domain - Ingress, с которым устанавливаете платформу.

  1. Создайте запрос на сертификат (CSR) с использованием файла конфигурации openssl-san.cnf.
Команда 
openssl req -newkey rsa:2048 -sha256 -days 365 -nodes -keyout tls.key -out tls.csr -extensions req_ext -config openssl-san.cnf
  1. Отправьте созданный запрос на сертификат (CSR) на подпись у вашего удостоверяющего центра (Certificate Authority, CA). В результате вы должны получить подписанный сертификат в формате PEM, который необходимо переименовать в tls.crt.

При инсталляции с корпоративным сертификатом потребуется:

  1. Загрузить корпоративный сертификат в формате PEM, содержащий ваш конечный сертификат -> промежуточные сертификаты CA -> корневой CA. Сертификат должен быть выпущен центром сертификации (Certificate Authority, CA) (в этом случае в файле будет цепочка сертификатов) или самоподписан для доменного имени Ingress.
  2. Закрытый ключ корпоративного сертификата Ingress.
Скриншот создания кластера с корпоративным сертификатом

certcorp

При установке платформы в закрытом контуре при использовании корпоративного зеркала корневой сертификат зеркала должен быть прописан в доверенные на все ВМ и шаблоны.

Если необходимо установить корпоративный сертификат в созданный кластер, выполните шаги инструкции.

← Самоподписной
Промежуточный →
×