Вы можете создать secret с сертификатом для работы по HTTPS одним из вариантов:
- с помощью установки через интернет;
- с помощью установки без доступа в интернет.
Установка через интернет
Способ 1. Использовать сертификат, выпущенный доверенным УЦ
Для создания secret с сертификатом для работы по HTTPS вы можете приобрести сертификат, выпущенный одним из доверенных удостоверяющих центров, или использовать уже имеющийся.
начало внимание
Secret с сертификатом должен быть создан в том же namespace, в котором работает или будет установлено целевое приложение, для которого выпускается сертификат.
Для приложения ELMA365 стандартный namespace: elma365.
Для встроенных баз данных стандартный namespace: elma365-dbs.
конец внимание
В namespace с целевым приложением создайте secret типа tls с наименованием elma365-onpremise-tls, выполнив команду:
kubectl create secret tls elma365-onpremise-tls \
--cert=path/to/cert/file \
--key=path/to/key/file [-n namespace]
где:
--cert— путь до файла с открытым сертификатом формата .pem или .crt;--key— путь до файла с закрытым ключом.
Способ 2. Использовать сертификат Let’s Encrypt
Подробнее о выпуске сертификата читайте в статье «Создание сертификата Let’s Encrypt».
Установка без доступа в интернет
Способ 1. Использовать самоподписанный сертификат или сертификат, выпущенный локальным УЦ
Вы можете использовать уже имеющийся сертификат, выпущенный локальным удостоверяющим центром, или создать самоподписанный сертификат с помощью OpenSSL. Подробнее об этом читайте в статье «Создание самоподписанных сертификатов TLS/SSL с помощью OpenSSL».
начало внимание
Secret с сертификатом должен быть создан в том же namespace, в котором работает или будет установлено целевое приложение, для которого выпускается сертификат.
Для приложения ELMA365 стандартный namespace: elma365.
Для встроенных баз данных стандартный namespace: elma365-dbs.
конец внимание
В namespace с целевым приложением создайте secret типа tls с наименованием elma365-onpremise-tls, выполнив команду:
kubectl create secret tls elma365-onpremise-tls \
--cert=path/to/cert/file \
--key=path/to/key/file [-n namespace]
где:
--cert— путь до файла с открытым сертификатом формата .pem или .crt;--key— путь до файла с закрытым ключом.
Если для приложения ELMA365 и встроенных баз данных требуется поддержка доверия пользовательскому сертификату CA, установите модуль дополнений Kyverno. Kyverno позволяет автоматически добавлять том, содержащий пользовательские сертификаты CA, в контейнеры с определённой меткой.
Если поддержка доверия требуется только для приложения ELMA365, её можно включить в helm-чарте ELMA365. О том, как это сделать, читайте в статье «Включение Network Encryption (TLS) в ELMA365 Enterprise». Для включения поддержки в helm-чарте выполните следующие шаги:
|
В namespace, в котором установлено приложение ELMA365, создайте ConfigMap из файла сертификата CA с наименованием elma365-onpremise-ca, выполнив команду:
kubectl create configmap elma365-onpremise-ca \
--from-file=elma365-onpremise-ca.pem=path/to/rootCA [-n namespace]
Способ 2. Использовать самоподписанный сертификат Cert-manager
Подробнее о выпуске сертификата читайте в статье «Создание самоподписанных сертификатов TLS/SSL с помощью Cert-manager».