Skip to content

Корневые TLS сертификаты

Собственные корневые сертификаты

Если вы используете самоподписанный сертификат для безопасного подключения или сертификат, выданный центром сертификации организации, или любой неглобальный SSL-сертификат, вам необходимо вам необходимо добавить ваши корневые и/или промежуточные сертификаты для корректной работы интеграции.

Загрузите ваши корневые сертификаты в формате PEM или DER в какую либо директорию, на машине, на которой установлен Apiary, например, в директорию /opt/root-certs. Файлы могут иметь расширение .pem, .crt или .cer.

Укажите эту директорию
в конфигурации.

Добавьте опцию custom.root.certs.path. Например, так: 

[main]
custom.root.certs.path = /opt/certs

Сделайте
reconfig что бы изменения вступили в силу.

⚠️ Свойство custom.root.certs.path позволяет задать корневые сертификаты для всех сервисов Apiary одновременно. Если вам нужно задать раздельные корневые сертификаты, например, для интеграции между Hive и Apiary вы можете это сделать. Для дополнительной информацией вы можете обратиться к файлу /opt/hw-fh/config/user-template.ini

Конвертация CA сертификата из .PFX

Вам может потребоваться конвертировать CA сертификат из .pfx, если: * невозможно использовать глобально валидные сертификаты; * необходимо использовать внутренний Certificate Authority для выпуска сертификатов.

  1. Сгенерируйте ключ TLS: 

    openssl pkcs12 -in your_file.pfx -nocerts -nodes -out key.pem

  2. Сгенерируйте сертификат TLS: 

    openssl pkcs12 -in your_file.pfx -clcerts -nokeys -out domain.pem
    > Примечание: уберите опцию -out из команд, тогда ключ и прочая информация будет выведена на экран. > В этом случае скопируйте все содержимое со строки > BEGIN PRIVATE KEY / BEGIN CERTIFICATE to END PRIVATE KEY / END CERTIFICATE и сохраните в файл.

  3. Сгенерируйте корневой сертификат: 

    openssl pkcs12 -in your_file.pfx -cacerts -nokeys -chain -out ca.pem
    > Примечание: вы получите цепочку корневых сертификатов. > Обычно требуется только последний сертификат в этой цепочке. > Вы можете, например, открыть файл на редактирование и удалить все, кроме последнего.

  4. Объедините файлы в один сертификат: 

    cat domain.pem ca.pem > cert.pem

  5. Скопируйте TLS сертификаты на машину с установленным Apiary, в директорию с TLS сертификатами: 

    cp cert.pem /opt/hw-fh/ssl/
cp key.pem /opt/hw-fh/ssl/

  6. Скопируйте корневой сертификат на машину в директорию с корневыми сертификатами: 

    cp ca.pem /opt/certs
    > Примечание: в этом случае необходимо указать путь до директории с корневыми сертификатами > в файле /opt/hw-fh/config/user.ini с помощью опции custom.root.certs.path = /opt/certs.

  7. Перезапустите Apiary (systemctl restart hw-fh) или выполните команду /opt/hw-fh/bin/reconfig, если вы изменили файл /opt/hw-fh/config/user.ini.