Настройка HTTPS#
Сертификаты (crt
) и закрытые ключи (key
) для аутентификации и шифрования данных
можно загружать через CLI.
Примечание
Поддерживается загрузка и использование только одного сертификата для управления (management) и одного для пользовательского трафика (traffic). При загрузке новых сертификатов предыдущие автоматически удаляются.
Сертификат для управления (management)#
TLS-сертификат используется для веб-интерфейса Angie ADC (порты 8080/8443). Файлы сохраняются по следующим путям:
/etc/angie/crt/cp.crt # (management crt)
/etc/angie/crt/cp.key # (management key)
Загрузка файлов#
Подключитесь к CLI по инструкции.
Войдите в режим загрузки TLS-сертификатов, поочередно введя следующие команды:
cert-config tls-upload
Отобразится приглашение:
(cert-config-tls-upload)#
Загрузите файл сертификата:
management crt
Будет выведено сообщение:
insert the certificate line by line at the end of the input, add an empty line or enter end
В появившемся поле введите содержимое crt-файла.
Пример:
-----BEGIN CERTIFICATE----- MIIDFDCCAfwCCQCq3AlavrbijjANBgkqhkiG9w0BAQsFADBMMQswCQYDVQQGEwJV UzELMAkGA1UECAwCQ0ExFjAUBgNVBAcMDVNhbiBGcmFuY2lzY28xGDAWBgNVBAMM D2FwcC5leGFtcGxlLmNvbTAeFw0yMDAzMjMyMzIwNDNaFw0yMzAzMjMyMzIwNDNa MEwxCzAJBgNVBAYTAlVTMQswCQYDVQQIDAJDQTEWMBQGA1UEBwwNU2FuIEZyYW5j aXNjbzEYMBYGA1UEAwwPYXBwLmV4YW1wbGUuY29tMIIBIjANBgkqhkiG9w0BAQEF AAOCAQ8AMIIBCgKCAQEA2BExYGROFHh7eO1Yqx+VDs3G3+THrLFT/7DPQDBY3kzC /hfZkX+w9mM6D5EOn+iiVSaQiP2mZ4P77oiGGfwrk62txD9pza8394/ZJ1yCGWgT +cVPEYnLcBKsI4LrKIgmhYR0R3sYdcGRdIrVPVe5ETBY5gU4Dha06NPB+j+f+I+Z aXb/2TAzBa4z31jHC86jePy1LvIFk1bcr6q+1DdyzIqqldD6/St8Ckwp9Nh1BPaa KYgVUwMtQPbok5pQfmS+t884wR3GSLE8VLQo82bra5DwzhHjis99IDhsmKtSyV9s icImzytpgIyaM/sXHQAOJmQInQmyh2zGuXXSCIdDkQIDAQABMA0GCSqGSIb3DQEB CwUAA4IBAQCKlVHNgY9TvKioWoKovYBvsQ2f+raN8BpucCrtoFmy5G3pb3SiONwZ AvrxmJn/GylkrJLpiAP5yCA4b6ciX2tFkzPFhITVJE5Ax9ihAvYfpMARuej3oG7e wLpBMbRyFlrXWoMYEA0llWBnxtPAvXKf8IVFa4RH8sWRIH0x3hEv5mCuTf2SE84C b6scKvw1oBANUXlWEVUa1fz/kYfAkYktvrWbTq6SXlhutIaf8XF3IC+/luox3e8L 0ApAPTNlgBp99/qs+8oO1kaJd5NezNyIyxRuKI39CZLnBoNbi3vQXcSsD+XSiXOG pEgN3mr/1Fk89VLHCaNy2+0j26tyjbrW -----END CERTIFICATE-----
Загрузите ключ:
management key
Будет выведено сообщение:
insert the certificate line by line at the end of the input, add an empty line or enter end
В появившемся поле введите содержимое key-файла.
Пример:
-----BEGIN PRIVATE KEY----- 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 -----END PRIVATE KEY-----
Нажмите Enter или введите
end
и нажмите Enter, чтобы вернуться вcert-config-tls-upload
.Введите команду
exit
, чтобы перейти вcert-config
.Чтобы применить настройки
tls-management
, введите команду:enable management
Файлы будут применены.
Для отключения TLS используйте команды:
cert-config
disable management
Сертификат для трафика (traffic)#
Сертификат TLS-трафика используется для балансировки (порты 80/443).
Загрузка сертификатов и ключей для TLS-трафика просиходит аналогично загрузке сертификатов и ключей для управления.
Используйте следующие команды:
traffic crt # сертификат
traffic key # ключ
enable traffic # применение настроек
Файлы сохраняются по следующим путям:
/etc/angie-lb/crt/cp.crt # (traffic crt)
/etc/angie-lb/crt/cp.key # (traffic key)
Примечание
После добавления, загрузки и включения сертификата для трафика необходимо вручную добавить раздел конфигурации сервера в конфигурацию балансировщика нагрузки.
Например:
server {
listen 80;
listen [::]:80;
listen 443 ssl;
listen [::]:443 ssl;
server_name localhost;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers AES128-SHA:AES256-SHA:RC4-SHA:DES-CBC3-SHA:RC4-MD5;
ssl_certificate /etc/angie-lb/crt/cp.crt;
ssl_certificate_key /etc/angie-lb/crt/cp.key;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
if ($scheme = http) {
return 301 https://$host:443$request_uri;
}
## location
}