search string side menu

ELMA365 On-Premises > ELMA365 On-Premises Enterprise > Администрирование ELMA365 Enterprise / Включение Network Encryption (TLS) в ELMA365 Enterprise

Включение Network Encryption (TLS) в ELMA365 Enterprise

ELMA365 Enterprise поддерживает шифрование Transport Layer Security (TLS) 1.2+ для входящего и исходящего трафика. Чтобы автоматически переключать приложение на работу по защищённому протоколу HTTPS, включите поддержку шифрования TLS.

Включение TLS для приложения ELMA365 состоит из трёх этапов:

  1. Подготовка secret с сертификатом для работы по HTTPS.
  2. Внесение изменений в конфигурационный файл.
  3. Применение параметров TLS для ELMA365 Enterprise.

Шаг 1: Подготовка secret с сертификатом для работы по HTTPS

О том, как это сделать, читайте в статье «Подготовка secret с сертификатом для работы по HTTPS».

Шаг 2: Внесение изменений в конфигурационный файл values-elma365.yaml

Изменения вносятся в конфигурационный файл values-elma365.yaml, заполненный при установке ELMA365.

Начало внимание

Перед редактированием файла values-elma365.yaml создайте его резервную копию, поскольку некорректная настройка параметров может привести к сбоям в работе приложения ELMA365.

Конец внимание

Заполните конфигурационный файл values-elma365.yaml для включения TLS:

  1. Чтобы включить поддержку шифрования, укажите true в параметре global.ingress.onpremiseTls.enabled. В этом параметре укажите наименование сертификата для работы по https, например, elma365-onpremise-tls. Сертификат должен быть выпущен для доменного имени FQDN в параметре global.host, по которому будет доступна система, например, example.ru.

global:
  # домен (FQDN) или ip адрес, по которому будет доступна система
  host: 'example.ru'
  ingress:
  # включение host в ingress (значение берется из host)
  # для установленного s3 minio через чарты elma365-dbs, укажите в блоке minio
  # значение в параметре hosts в файле values-dbs.yaml
  hostEnabled: false
  onpremiseTls:
    # включение https
    enabled: true
    # имя секрета с сертификатами для работы https
    secret: "elma365-onpremise-tls"

Заполнение параметров корневого CA для настройки доверия пользовательскому сертификату СА

 
Вы можете настроить поддержку доверия, если при создании secret с сертификатом для работы по https вы использовали самоподписанный сертификат с помощью OpenSSL или сертификат, выпущенный локальным удостоверяющем центром. Сделать это можно двумя способами:

  • с помощью модуля дополнений Kyverno. Kyverno позволяет автоматически добавлять том, содержащий пользовательские сертификаты CA, в контейнеры с определённой меткой;
  • в helm-чарте ELMA365.
     
    Для этого:
    1. В namespace, в котором установлено приложение ELMA365, создайте ConfigMap из файла сертификата CA:

kubectl create configmap elma365-onpremise-ca \
--from-file=path/to/rootCA [-n namespace]

    1. В конфигурационном файле values-elma365.yaml укажите следующие значения:
        • global.ingress.onpremiseTls.enabledCA — использование пользовательского сертификата корневого CA приложением ELMA365. Для включения параметра укажите true;
        • global.ingress.onpremiseTls.configCA — наименование ранее созданной ConfigMap. В рамках статьи используется наименование elma365-onpremise-ca.

Пример файла:
 

 
global:
 ...
 ingress:
   # включение host в ingress (значение берется из host)
   # для установленного s3 minio через чарты elma365-dbs, укажите в блоке minio
   # значение в параметре hosts в файле values-dbs.yaml
   hostEnabled: false
   onpremiseTls:
     # включение https
     enabled: true
     # имя секрета с сертификатами для работы https
     secret: "elma365-onpremise-tls"
     # включение сертификата корневого CA для работы https с самоподписанным сертификатом
     enabledCA: true
     # имя конфигмапы с сертификатом корневого CA для работы https с самоподписанным сертификатом
     configCA: "elma365-onpremise-ca"

Начало внимание

Перед применением параметров TLS для приложения ELMA365 убедитесь, что хранилище файлов S3 работает по протоколу HTTPS (использует TLS шифрование). Перенастройте хранилище файлов S3 на работу по протоколу HTTPS до того, как включите поддержку использования TLS в приложении ELMA365.

Конец внимание

  1. Укажите в параметрах подключения, что на стороне сервера хранилища S3 используется TLS шифрование. Для этого задайте true в параметре db.s3.ssl.enabled.

...
db:
 ...  
 # настройки подключения к S3 хранилищу файлов
 s3:
   method: PUT
   accesskeyid: PZSF73JG72Ksd955JKU1HIA
   secretaccesskey: aFDkj28Jbs2JKbnvJH678MNwiz88zKjsuNBHHs
   bucket: s3elma365
   backend:
     address: example.ru
     region: us-east-1
   ssl:
     enabled: "true"
...

Шаг 3: Применение параметров TLS для ELMA365 Enterprise

Вы можете обновить параметры приложения ELMA365 двумя способами: через интернет или без доступа к сети.

Обновление параметров через интернет

  1. Определите версию чарта, с помощью которого было установлено или обновлено приложение ELMA365:

helm show chart elma365/elma365

Пример выполнения команды:

enable-tls-enterprise-1

В результате выполнения команды информация о версии чарта будет указана в строке version. Сохраните это значение для выполнения следующего шага.

  1. Обновите параметры приложения ELMA365 с применением конфигурационного файла values-elma365.yaml. Для этого используйте следующую команду, указав в ней для флага --version установленную версию чарта вместо <elma365-chart-version>:

helm upgrade --install elma365 elma365/elma365 -f values-elma365.yaml --version <elma365-chart-version> --timeout=30m --wait [-n namespace]

Обновление параметров без доступа в интернет

Перейдите в каталог с загруженным чартом ELMA365 и выполните команду:

helm upgrade --install elma365 ./elma365 -f values-elma365.yaml --timeout=30m --wait [-n namespace]

Обновление параметров занимает 10–30 минут. Дождитесь его завершения.

enable-portable-services.html autoscaling-service-enterprise.html