search string side menu

ELMA365 On-Premises > ELMA365 On-Premises Enterprise > Администрирование ELMA365 Enterprise / Включение Network Encryption (TLS) в ELMA365 Enterprise

Включение Network Encryption (TLS) в ELMA365 Enterprise

ELMA365 Enterprise поддерживает шифрование Transport Layer Security (TLS) 1.2+ для входящего и исходящего трафика. Чтобы автоматически переключать приложение на работу по защищённому протоколу HTTPS, включите поддержку шифрования TLS.

Включение TLS для приложения ELMA365 состоит из трёх этапов:

  1. Подготовка secret с сертификатом для работы по HTTPS.
  2. Внесение изменений в конфигурационный файл.
  3. Применение параметров TLS для ELMA365 Enterprise.

Шаг 1. Подготовка secret с сертификатом для работы по HTTPS

О том, как это сделать, читайте в статье «Подготовка secret с сертификатом для работы по HTTPS».

Шаг 2. Внесение изменений в конфигурационный файл values-elma365.yaml

Изменения вносятся в конфигурационный файл values-elma365.yaml, заполненный при установке ELMA365.

Начало внимание

Перед редактированием файла values-elma365.yaml создайте его резервную копию, поскольку некорректная настройка параметров может привести к сбоям в работе приложения ELMA365.

Конец внимание

Заполните конфигурационный файл values-elma365.yaml для включения TLS:

  1. Чтобы включить поддержку шифрования, укажите true в параметре global.ingress.onpremiseTls.enabled. В этом параметре укажите наименование сертификата для работы по https, например, elma365-onpremise-tls. Сертификат должен быть выпущен для доменного имени FQDN в параметре global.host, по которому будет доступна система, например, example.ru.

global:
  # домен (FQDN) или ip адрес, по которому будет доступна система
  host: 'example.ru'
  ingress:
  # включение host в ingress (значение берется из host)
  # для установленного s3 minio через чарты elma365-dbs, укажите в блоке minio
  # значение в параметре hosts в файле values-dbs.yaml
  hostEnabled: false
  onpremiseTls:
    # включение https
    enabled: true
    # имя секрета с сертификатами для работы https
    secret: "elma365-onpremise-tls"

Заполнение параметров корневого CA для настройки доверия пользовательскому сертификату СА

 
Вы можете настроить поддержку доверия, если при создании secret с сертификатом для работы по https вы использовали самоподписанный сертификат с помощью OpenSSL или сертификат, выпущенный локальным удостоверяющем центром. Сделать это можно двумя способами:

  • с помощью модуля дополнений Kyverno. Kyverno позволяет автоматически добавлять том, содержащий пользовательские сертификаты CA, в контейнеры с определённой меткой;
  • в helm-чарте ELMA365.
     
    Для этого:
    1. В namespace, в котором установлено приложение ELMA365, создайте ConfigMap из файла сертификата CA:

kubectl create configmap elma365-onpremise-ca \
--from-file=path/to/rootCA [-n namespace]

    1. В конфигурационном файле values-elma365.yaml укажите следующие значения:
        • global.ingress.onpremiseTls.enabledCA — использование пользовательского сертификата корневого CA приложением ELMA365. Для включения параметра укажите true;
        • global.ingress.onpremiseTls.configCA — наименование ранее созданной ConfigMap. В рамках статьи используется наименование elma365-onpremise-ca.

Пример файла:
 

 
global:
 ...
 ingress:
   # включение host в ingress (значение берется из host)
   # для установленного s3 minio через чарты elma365-dbs, укажите в блоке minio
   # значение в параметре hosts в файле values-dbs.yaml
   hostEnabled: false
   onpremiseTls:
     # включение https
     enabled: true
     # имя секрета с сертификатами для работы https
     secret: "elma365-onpremise-tls"
     # включение сертификата корневого CA для работы https с самоподписанным сертификатом
     enabledCA: true
     # имя конфигмапы с сертификатом корневого CA для работы https с самоподписанным сертификатом
     configCA: "elma365-onpremise-ca"

Начало внимание

Перед применением параметров TLS для приложения ELMA365 убедитесь, что хранилище файлов S3 работает по протоколу HTTPS (использует TLS шифрование).

Конец внимание

  1. Укажите в параметрах подключения, что на стороне сервера хранилища S3 используется TLS шифрование. Для этого задайте true в параметре db.s3.ssl.enabled.

...
db:
 ...  
 # настройки подключения к S3 хранилищу файлов
 s3:
   method: PUT
   accesskeyid: PZSF73JG72Ksd955JKU1HIA
   secretaccesskey: aFDkj28Jbs2JKbnvJH678MNwiz88zKjsuNBHHs
   bucket: s3elma365
   backend:
     address: example.ru
     region: us-east-1
   ssl:
     enabled: "true"
...

Шаг 3. Применение параметров TLS для ELMA365 Enterprise

Вы можете обновить параметры приложения ELMA365 двумя способами: через интернет или без доступа к сети.

Обновление параметров через интернет

  1. Определите версию чарта, с помощью которого было установлено или обновлено приложение ELMA365:

helm show chart elma365/elma365

Пример выполнения команды:

enable-tls-enterprise-1

В результате выполнения команды информация о версии чарта будет указана в строке version. Сохраните это значение для выполнения следующего шага.

  1. Обновите параметры приложения ELMA365 с применением конфигурационного файла values-elma365.yaml. Для этого используйте следующую команду, указав в ней для флага --version установленную версию чарта вместо <elma365-chart-version>:

helm upgrade --install elma365 elma365/elma365 -f values-elma365.yaml --version <elma365-chart-version> --timeout=30m --wait [-n namespace]

Обновление параметров без доступа в интернет

Перейдите в каталог с загруженным чартом ELMA365 и выполните команду:

helm upgrade --install elma365 ./elma365 -f values-elma365.yaml --timeout=30m --wait [-n namespace]

Обновление параметров занимает 10–30 минут. Дождитесь его завершения.

enable-portable-services.html autoscaling-service-enterprise.html