Skip to content

Корневые TLS сертификаты

Собственные корневые сертификаты

Добавьте ваши корневые и/или промежуточные сертификаты для корректной работы интеграции, если у вас один из перечисленных сертификатов:

  • самоподписанный сертификат для безопасного подключения;
  • сертификат, выданный центром сертификации вашей организации;
  • любой неглобальный SSL-сертификат.

Загрузите ваши корневые сертификаты в формате PEM или DER в какую-либо директорию на машине, где установлен Hive — например, в директорию /opt/root-certs. Файлы могут иметь расширение .pem, .crt или .cer.

Укажите эту директорию в конфигурации.

Добавьте опцию custom.root.certs.path. Пример:

[main]
custom.root.certs.path = /opt/certs

Выполните
реконфигурацию, чтобы изменения вступили в силу.

⚠️ Свойство custom.root.certs.path позволяет задать корневые сертификаты для всех сервисов Hive одновременно. Вы также можете задать раздельные корневые сертификаты, например, для интеграции между Hive и Apiary. Подробности смотрите в файле /opt/hw-bw/config/user-template.ini

Конвертация CA сертификата из .PFX

Вам может потребоваться конвертировать CA сертификат из .pfx, если:

  • невозможно использовать глобально валидные сертификаты;

  • необходимо использовать внутренний Certificate Authority для выпуска сертификатов.

  • Сгенерируйте ключ TLS:

    openssl pkcs12 -in your_file.pfx -nocerts -nodes -out key.pem

  • Сгенерируйте сертификат TLS:

    openssl pkcs12 -in your_file.pfx -clcerts -nokeys -out domain.pem

    Примечание: уберите опцию -out из команд, тогда ключ и прочая информация будет выведена на экран. В этом случае скопируйте все содержимое со строки BEGIN PRIVATE KEY / BEGIN CERTIFICATE to END PRIVATE KEY / END CERTIFICATE и сохраните в файл.

  • Сгенерируйте корневой сертификат:

    openssl pkcs12 -in your_file.pfx -cacerts -nokeys -chain -out ca.pem

    Примечание: вы получите цепочку корневых сертификатов. Обычно требуется только последний сертификат в этой цепочке. Вы можете открыть файл на редактирование и удалить все, кроме последнего.

  • Объедините файлы в один сертификат:

    cat domain.pem ca.pem > cert.pem

  • Скопируйте TLS-сертификаты на машину с установленным Hive в директорию с TLS-сертификатами:

    cp cert.pem /opt/hw-bw/ssl/
cp key.pem /opt/hw-bw/ssl/

  • Скопируйте корневой сертификат на машину в директорию с корневыми сертификатами:

    cp ca.pem /opt/certs

    Примечание: в этом случае необходимо указать путь до директории с корневыми сертификатами в файле /opt/hw-bw/config/user.ini с помощью опции custom.root.certs.path = /opt/certs.

  • Перезапустите Hive (systemctl restart hw-bw) или выполните команду /opt/hw-bw/bin/reconfig, если вы изменили файл /opt/hw-bw/config/user.ini.