Настройка HTTPS#

Сертификаты (crt) и закрытые ключи (key) для аутентификации и шифрования данных можно загружать через CLI.

Примечание

Поддерживается загрузка и использование только одного сертификата для управления (management) и одного для пользовательского трафика (traffic). При загрузке новых сертификатов предыдущие автоматически удаляются.

Сертификат для управления (management)#

TLS-сертификат используется для веб-интерфейса Angie ADC (порты 8080/8443). Файлы сохраняются по следующим путям:

/etc/angie/crt/cp.crt  # (management crt)
/etc/angie/crt/cp.key  # (management key)

Загрузка файлов#

  1. Подключитесь к CLI по инструкции.

  2. Войдите в режим загрузки TLS-сертификатов, поочередно введя следующие команды:

    cert-config
    tls-upload
    

    Отобразится приглашение:

    (cert-config-tls-upload)#
    
  3. Загрузите файл сертификата:

    management crt
    

    Будет выведено сообщение:

    insert the certificate line by line at the end of the input, add an empty line or enter end
    

    В появившемся поле введите содержимое crt-файла.

    Пример:

    -----BEGIN CERTIFICATE-----
    MIIDFDCCAfwCCQCq3AlavrbijjANBgkqhkiG9w0BAQsFADBMMQswCQYDVQQGEwJV UzELMAkGA1UECAwCQ0ExFjAUBgNVBAcMDVNhbiBGcmFuY2lzY28xGDAWBgNVBAMM D2FwcC5leGFtcGxlLmNvbTAeFw0yMDAzMjMyMzIwNDNaFw0yMzAzMjMyMzIwNDNa MEwxCzAJBgNVBAYTAlVTMQswCQYDVQQIDAJDQTEWMBQGA1UEBwwNU2FuIEZyYW5j aXNjbzEYMBYGA1UEAwwPYXBwLmV4YW1wbGUuY29tMIIBIjANBgkqhkiG9w0BAQEF AAOCAQ8AMIIBCgKCAQEA2BExYGROFHh7eO1Yqx+VDs3G3+THrLFT/7DPQDBY3kzC /hfZkX+w9mM6D5EOn+iiVSaQiP2mZ4P77oiGGfwrk62txD9pza8394/ZJ1yCGWgT +cVPEYnLcBKsI4LrKIgmhYR0R3sYdcGRdIrVPVe5ETBY5gU4Dha06NPB+j+f+I+Z aXb/2TAzBa4z31jHC86jePy1LvIFk1bcr6q+1DdyzIqqldD6/St8Ckwp9Nh1BPaa KYgVUwMtQPbok5pQfmS+t884wR3GSLE8VLQo82bra5DwzhHjis99IDhsmKtSyV9s icImzytpgIyaM/sXHQAOJmQInQmyh2zGuXXSCIdDkQIDAQABMA0GCSqGSIb3DQEB CwUAA4IBAQCKlVHNgY9TvKioWoKovYBvsQ2f+raN8BpucCrtoFmy5G3pb3SiONwZ AvrxmJn/GylkrJLpiAP5yCA4b6ciX2tFkzPFhITVJE5Ax9ihAvYfpMARuej3oG7e wLpBMbRyFlrXWoMYEA0llWBnxtPAvXKf8IVFa4RH8sWRIH0x3hEv5mCuTf2SE84C b6scKvw1oBANUXlWEVUa1fz/kYfAkYktvrWbTq6SXlhutIaf8XF3IC+/luox3e8L 0ApAPTNlgBp99/qs+8oO1kaJd5NezNyIyxRuKI39CZLnBoNbi3vQXcSsD+XSiXOG pEgN3mr/1Fk89VLHCaNy2+0j26tyjbrW
    -----END CERTIFICATE-----
    
  4. Загрузите ключ:

    management key
    

    Будет выведено сообщение:

    insert the certificate line by line at the end of the input, add an empty line or enter end
    

    В появившемся поле введите содержимое key-файла.

    Пример:

    -----BEGIN PRIVATE KEY-----
    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
    -----END PRIVATE KEY-----
    
  5. Нажмите Enter или введите end и нажмите Enter, чтобы вернуться в cert-config-tls-upload.

  6. Введите команду exit, чтобы перейти в cert-config.

  7. Чтобы применить настройки tls-management, введите команду:

    enable management
    

    Файлы будут применены.

Для отключения TLS используйте команды:

cert-config
disable management

Сертификат для трафика (traffic)#

Сертификат TLS-трафика используется для балансировки (порты 80/443).

Загрузка сертификатов и ключей для TLS-трафика просиходит аналогично загрузке сертификатов и ключей для управления.

Используйте следующие команды:

traffic crt # сертификат

traffic key # ключ

enable traffic # применение настроек

Файлы сохраняются по следующим путям:

/etc/angie-lb/crt/cp.crt # (traffic crt)
/etc/angie-lb/crt/cp.key # (traffic key)

Примечание

После добавления, загрузки и включения сертификата для трафика необходимо вручную добавить раздел конфигурации сервера в конфигурацию балансировщика нагрузки.

Например:

server {
    listen       80;
    listen       [::]:80;
    listen       443 ssl;
    listen       [::]:443 ssl;
    server_name  localhost;

    ssl_protocols       TLSv1.2 TLSv1.3;
    ssl_ciphers         AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
    ssl_certificate     /etc/angie-lb/crt/cp.crt;
    ssl_certificate_key /etc/angie-lb/crt/cp.key;
    ssl_session_cache   shared:SSL:10m;
    ssl_session_timeout 10m;

    if ($scheme = http) {
        return 301 https://$host:443$request_uri;
    }

    ## location
}