Замена сертификатов в WEB-Сервер-КС
Рассмотрим замену сертификатов в контейнере wsks-6.0.9_443.
Версия контейнера и порт могут отличаться.
1. Скопируйте необходимые сертификаты в /opt/wsks-6.0.9_443/ssl
В данном примере для замены используются сертификаты serv.key, serv.crt, KSCA3.crt (может отсутствовать).
2. Узнайте на чем работает WEB-Сервер-КС.
Возможные варианты: Apache, Nginx или Angie
/opt/wsks-6.0.9_443/ctl/ws_info.sh----------------------------------------------------------
Процессы http сервера Apache, порт 5492
----------------------------------------------------------
PID PPID USERNAME %CPU% %MEM% CMD_apache
33 1 root 0.0 0.0 /usr/sbin/apache2 -f /etc/apache2/conf.ks/apache2.conf -k start
202 33 www-data 0.0 0.0 /usr/sbin/apache2 -f /etc/apache2/conf.ks/apache2.conf -k start
203 33 www-data 0.0 0.0 /usr/sbin/apache2 -f /etc/apache2/conf.ks/apache2.conf -k start----------------------------------------------------------
Процессы http сервера Nginx, порт 443
----------------------------------------------------------
PID PPID USERNAME %CPU% %MEM% CMD_nginx
29 1 root 0.0 0.0 nginx: master process /usr/sbin/nginx -c /e tc/nginx/conf.ks/nginx.conf
4613 29 www-data 0.0 0.0 nginx: worker process
4614 29 www-data 0.0 0.0 nginx: worker process
4615 29 www-data 0.0 0.0 nginx: worker process
4616 29 www-data 0.0 0.0 nginx: worker process
4617 29 www-data 0.0 0.0 nginx: worker process
4618 29 www-data 0.0 0.0 nginx: worker process
4619 29 www-data 0.0 0.0 nginx: worker process
4620 29 www-data 0.0 0.0 nginx: worker process----------------------------------------------------------
Процессы http сервера Angie, порт 5447
----------------------------------------------------------
30 1 root 0.0 0.0 Angie: master process /usr/sbin/angie -c /e tc/angie/conf.ks/angie.conf
31 30 www-data 0.0 0.0 Angie: worker process
32 30 www-data 0.0 0.0 Angie: worker process
33 30 www-data 0.0 0.0 Angie: worker process
34 30 www-data 0.0 0.0 Angie: worker process
35 30 www-data 0.0 0.0 Angie: worker process
36 30 www-data 0.0 0.0 Angie: worker process
37 30 www-data 0.0 0.0 Angie: worker process
38 30 www-data 0.0 0.0 Angie: worker process3. Остановите WEB-Сервер-КС
bash /opt/wsks-6.0.9_443/ctl/ws_stop.shПодправьте файл конфигурации:
4. Отредактируйте конфигурационный файл Apache.
nano /opt/wsks-6.0.9_443/conf.ks/vhost_ks.confВнесите следующие изменения в файл конфигурации vhost_ks.conf:
- Вместо
serv.key,serv.crtукажите имена своих сертификатов. - Если сертификат
KSCA3.crtотсутствует, то закомментируйте строку так:
#SSLCACertificateFile /etc/apache2/ssl/KSCA3.crt
vhost_ks.conf
SSLEngine on
SSLCertificateKeyFile /etc/apache2/ssl/serv.key
SSLCertificateFile /etc/apache2/ssl/serv.crt
SSLCACertificateFile /etc/apache2/ssl/KSCA3.crt
#SSLCertificateChainFile<---->/etc/httpd/ssl/chain.crt
# Опция, если нужно пускать только тех, у кого есть клиентский сертификат (2-хсторонний SSL) и т.д.
SSLVerifyClient none
# none: сертификат клиента вообще не требуется
# optional: клиент может предъявить действующий сертификат
# require: клиент должен предъявить действующий сертификат
# optional_no_ca: клиент может предоставить действительный сертификат, но он не должен быть (успешно) поддающимся проверке5. Отредактируйте конфигурационный файл Nginx, Angie
nano /opt/wsks-6.0.9_443/conf.ks/sslks.confВнесите следующие изменения в файл конфигурации sslks.conf:
- Вместо
serv.key,serv.crtукажите имена своих сертификатов. - Если сертификат
KSCA3.crtотсутствует, то закомментируйте строку так:
#ssl_client_certificate /etc/nginx/ssl/KSCA3.crt;
sslks.conf
ssl_certificate /etc/nginx/ssl/srv.crt;
ssl_certificate_key /etc/nginx/ssl/srv.key;
ssl_client_certificate /etc/nginx/ssl/KSCA3.crt;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers on;
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH";
ssl_ecdh_curve secp384r1;
ssl_session_cache shared:SSL:10m;
ssl_session_tickets off;
ssl_stapling on;
ssl_stapling_verify on;6. Запустите web-сервер
bash /opt/wsks-6.0.9_443/ctl/ws_start.sh
bash /opt/wsks-6.0.9_443/ctl/ws_info.sh