ELMA365 On-Premises > ELMA365 On-Premises Enterprise > Администрирование ELMA365 Enterprise / Включение Network Encryption (TLS) в ELMA365 Enterprise

Включение Network Encryption (TLS) в ELMA365 Enterprise

ELMA365 Enterprise поддерживает шифрование Transport Layer Security (TLS) 1.2+ для входящего и исходящего трафика. Чтобы автоматически переключать приложение на работу по защищённому протоколу HTTPS, включите поддержку шифрования TLS.

Включение TLS для приложения ELMA365 состоит из трёх этапов:

Шаг 1: Подготовка secret с сертификатом для работы по HTTPS

О том, как это сделать, читайте в статье «Подготовка secret с сертификатом для работы по HTTPS».

Шаг 2: Внесение изменений в конфигурационный файл values-elma365.yaml

Начало внимание

Внесение изменений происходит в уже существующий конфигурационный файл values-elma365.yaml, который был получен и заполнен при установке ELMA365. Необдуманное изменение параметров в этом файле может привести к потере работоспособности приложения ELMA365. Перед внесением изменений в файл values-elma365.yaml рекомендуем создать его резервную копию.

Конец внимание

Заполните конфигурационный файл values-elma365.yaml для включения TLS.

Чтобы включить поддержку шифрования, укажите true в параметре global.ingress.onpremiseTls.enabled. В этом параметре укажите наименование сертификата для работы по https, например, elma365-onpremise-tls. Сертификат должен быть выпущен для доменного имени FQDN в параметре global.host, по которому будет доступна система, например, example.ru.

global:
  ## домен (FQDN) или ip адрес, по которому будет доступна система
  host: 'example.ru'
  ingress:
  ## включение host в ingress (значение берется из host)
  ## для установленного s3 minio через чарты elma365-dbs, укажите в блоке minio
  ## значение в параметре hosts в файле values-dbs.yaml
  hostEnabled: false
  onpremiseTls:
    ## включение https
    enabled: true
    ## имя секрета с сертификатами для работы https
    secret: "elma365-onpremise-tls"

Заполнение параметров корневого CA для настройки доверия пользовательскому сертификату СА

Вы можете настроить поддержку доверия, если при создании secret с сертификатом для работы по https вы использовали самоподписанный сертификат с помощью OpenSSL или сертификат, выпущенный локальным удостоверяющем центром. Сделать это можно двумя способами:

с помощью модуля дополнений Kyverno. Kyverno позволяет автоматически добавлять том, содержащий пользовательские сертификаты CA, в контейнеры с определённой меткой;
в helm-чарте ELMA365. Для этого:

В namespace, в котором установлено приложение ELMA365, создайте ConfigMap из файла сертификата CA:

kubectl create configmap elma365-onpremise-ca \
--from-file=path/to/rootCA [-n namespace]

В конфигурационном файле values-elma365.yaml укажите следующие значения:

global.ingress.onpremiseTls.enabledCA — использование пользовательского сертификата корневого CA приложением ELMA365. Для включения параметра укажите true;
global.ingress.onpremiseTls.configCA — наименование ранее созданной ConfigMap. В рамках статьи используется наименование elma365-onpremise-ca.

Пример файла:

global:
...
ingress:
## включение host в ingress (значение берется из host)
## для установленного s3 minio через чарты elma365-dbs, укажите в блоке minio
## значение в параметре hosts в файле values-dbs.yaml
hostEnabled: false
onpremiseTls:
## включение https
enabled: true
## имя секрета с сертификатами для работы https
secret: "elma365-onpremise-tls"
## включение сертификата корневого CA для работы https с самоподписанным сертификатом
enabledCA: true
## имя конфигмапы с сертификатом корневого CA для работы https с самоподписанным сертификатом
configCA: "elma365-onpremise-ca"

Начало внимание

Перед применением параметров TLS для приложения ELMA365 убедитесь, что хранилище файлов S3 работает по протоколу HTTPS (использует TLS шифрование). Перенастройте хранилище файлов S3 на работу по протоколу HTTPS до того, как включите поддержку использования TLS в приложении ELMA365.

Конец внимание

Укажите в параметрах подключения, что на стороне сервера хранилища S3 используется TLS шифрование. Для этого задайте true в параметре db.s3.ssl.enabled.

...
db:
  ...
  ## настройки подключения к S3 хранилищу файлов
  s3:
    method: PUT
    accesskeyid: PZSF73JG72Ksd955JKU1HIA
    secretaccesskey: aFDkj28Jbs2JKbnvJH678MNwiz88zKjsuNBHHs
    bucket: s3elma365
    backend:
      address: example.ru
      region: us-east-1
    ssl:
      enabled: "true"
...

Шаг 3: Применение параметров TLS для ELMA365 Enterprise

Обновите параметры приложения ELMA365, используя конфигурационный файл values-elma365.yaml. Обновление параметров занимает 10-30 минут. Дождитесь обновления параметров приложения ELMA365 Enterprise.

Начало внимание

При выполнении обновления параметров нужно:

Определить версию чарта, с помощью которого было установлено или обновлено приложение ELMA365.
Использовать ту же версию чарта для применения новых параметров, чтобы исключить побочное влияние обновления на работоспособность приложения.

Конец внимание

Для обновления через интернет

Определите версию чарта, с помощью которого было установлено приложение ELMA365:

helm show chart elma365/elma365

Пример выполнения команды:

enable-tls-enterprise-1

В строке version указана версия чарта, с помощью которого было установлено приложение ELMA365. Далее это значение необходимо указать для флага --version (подставить вместо <elma365-chart-version>).

Обновите параметры с указанием установленной версии приложения ELMA365 и использованием конфигурационного файла values-elma365.yaml:

helm upgrade --install elma365 elma365/elma365 -f values-elma365.yaml --version <elma365-chart-version> --timeout=30m --wait [-n namespace]

Для офлайн-обновления без доступа в интернет

Перейдите в каталог с загруженным чартом ELMA365 и выполните команду:

helm upgrade --install elma365 ./elma365 -f values-elma365.yaml --timeout=30m --wait [-n namespace]

enable-portable-services.html autoscaling-service-enterprise.html

Была ли статья полезной?