Шифрование SSL
Для установки защищенного соединения между web-сервером ADB Control и клиентами можно использовать протокол HTTPS, поддерживающий технологию шифрования SSL. Для настройки доступа к ADB Control через HTTPS выполните следующие шаги:
-
Откройте конфигурационную страницу сервиса ADB Control в ADCM.
-
Установите флаг Show advanced.
-
Переведите переключатель HTTPS parameters enable в активное состояние.
-
Заполните следующие поля, если вы планируете использовать собственные сертификаты.
ВАЖНОЕсли настройки не будут заполнены, ADB Control создаст сертификаты самостоятельно.
Параметр Описание Значение по умолчанию Listening port
Номер порта, на котором доступен UI ADB Control при подключении по HTTPS
8443
Server certificate
Содержимое серверного сертификата в формате CRT (файл *.crt)
—
Server private key
Содержимое серверного приватного ключа (файл *.key)
—
Verify system endpoints' certificates
Флаг, определяющий необходимость проверки сертификатов системных конечных точек
false
Server JKS keystore path
Путь к keystore-файлу в формате JKS для серверной части ADB Control. Например, /opt/adcc/ssl/keystore.jks
—
Server JKS keystore password
Пароль для доступа к keystore-файлу
Server JKS keystore path
—
Server JKS truststore path
Путь к truststore-файлу в формате JKS для серверной части ADB Control. Например, /opt/adcc/ssl/truststore.jks
—
Server JKS truststore password
Пароль для доступа к truststore-файлу
Server JKS truststore path
—
Client JKS keystore path
Путь к keystore-файлу в формате JKS для клиентской части ADB Control (агентов ADB Control/ADBM). Например, /opt/ssl/keystore.jks
—
Client JKS keystore password
Пароль для доступа к keystore-файлу
Client JKS keystore path
—
Client JKS truststore path
Путь к truststore-файлу в формате JKS для клиентской части ADB Control (агентов ADB Control/ADBM). Например, /opt/ssl/truststore.jks
—
Client JKS truststore password
Пароль для доступа к truststore-файлу
Client JKS truststore path
—
Заполнение параметров HTTPSРЕКОМЕНДАЦИЯ-
Файлы adcc_default.crt и adcc_default.key для самоподписанного (self-signed) сертификата автоматически создаются на хосте, где развернут сервис ADB Control. По умолчанию они расположены в директории /opt/adcc/ssl. Эти файлы можно использовать исключительно для целей тестирования.
-
В production-системах необходим доверенный центр сертификации (Certificate Authority, CA) для подписи сертификатов. Для создания и регистрации SSL-сертификатов можно использовать утилиту openssl.
-
В случае расширения кластера ADB необходимо перегенерировать сертификаты, чтобы добавить соответствующие
ServerAltNames
для новых хостов. -
При подключении внешнего кластера ADB для мониторинга в ADB Control, где настроено использование SSL, необходимо указать сертификаты с
ServerAltNames
хостов обоих кластеров в настройках основного и внешнего кластера ADB.
-
-
Нажмите Save.
-
Примените действие Reconfigure & Restart к сервису ADB Control.
Применение измененийВ результате следующая запись добавляется в конфигурационный файл /opt/adcc/nginx.conf, расположенный на хосте, где развернут ADB Control:
server { listen 8443 default_server ssl; server_name _; ssl_certificate /etc/nginx/conf.d/adcc_ssl.crt; ssl_certificate_key /etc/nginx/conf.d/adcc_ssl.key; ssl_prefer_server_ciphers on; return 302 https://10.92.40.122:8443$request_uri; }
После успешного выполнения описанных выше шагов каждая попытка подключения к ADB Control по адресу http://<ADB Control IP address>:81 будет автоматически перенаправляться на https://<ADB Control IP address>:8443. При использовании самоподписанного (self-signed) сертификата строка web-браузера будет содержать сообщение Not secure
.