Перейти к основному содержимому
Версия: 5.1

Настройка сертификата для Smart Monitor Web

Общие сведения

В данной статье описан процесс настройки TLS-параметров Smart Monitor Web.

Данная статья разделена на два раздела, в которых рассматриваются следующие аспекты настройки:

  1. Настройка сертификата сервера - в этом разделе статьи приводится инструкция по настройке TLS-сертификата сервера, который будет предоставляться пользователям при обращении к веб-интерфейсу, а также рассматривается установка корневого CA-сертификата в доверенное хранилище Windows для устранения предупреждений в браузере. Используйте данный раздел, если хотите достичь следующих пунктов:

    • использовать сертификат отдельный от того, который используется Smart Monitor Web для общения с узлами кластера Smart Monitor
    • избежать предупреждений браузера о недоверенном соединении, если сертификат подписан доверенным удостоверяющим центром (CA)

  2. Настройка проверки сертификата клиента - в этом разделе статьи приводится инструкция по настройке механизма проверки клиентского сертификата при его обращении к веб-интерфейсу. Используйте данный раздел, если хотите достичь следующих пунктов:

    • аутентификация пользователя по сертификату
    • отказ в подключении для пользователей без доверенного клиентского сертификата (если включен строгий режим проверки)

Предварительные требования

Информация

Предполагается, что перед началом работы все необходимые сертификаты были сгенерированы. Если сертификат для доступа к Smart Monitor Web еще не получен, обратитесь к вашему системному администратору.

Используемые файлы

  • ca-server-cert.pem - корневой сертификат удостоверяющего центра, которым был подписан сертификат сервера
  • ca-client-cert.pem - корневой сертификат удостоверяющего центра, использующийся для проверки клиентского сертификата
  • server-cert.pem - сертификат сервера, сертификатом удостоверяющего центра
  • server-key.pem - ключ, соответствующий сертификату сервера

Условные обозначения

  • OSD_HOME - домашняя директория Smart Monitor Web, обычно это /app/opensearch-dashboards/

Настройка сертификата сервера

Настройка параметров Smart Monitor Web

Примечание

По умолчанию Smart Monitor Web в качестве сертификата сервера использует сертификаты узла, которые же используются и для обращения к узлам кластера Smart Monitor.

Скопируйте сертификат, подписанный УЦ, и ключ, соответствующий этому сертификату, (в данном примере - файл server-cert.pem и server-key.pem) в директорию $OSD_HOME/config/.

На хосте, где установлен Smart Monitor Web, откройте файл <OSD_HOME>/config/opensearch_dashboards.yml. В разделе TLS Settings замените текущие параметры на следующие (с учетом условных обозначений):

server.ssl.certificate: <OSD_HOME>/config/server-cert.pem
server.ssl.key: <OSD_HOME>/config/server-key.pem

После этого перезапустите и проверьте статус сервиса opensearch-dashboards с помощью команд:

systemctl restart opensearch-dashboards
systemctl status opensearch-dashboards

Настройка параметров Smart Monitor Web для настройки сертификата сервера закончена.

Установка CA сертификата в систему

Обратите внимание!

Если ваш сертификат выдан общеизвестным удостоверяющим центром или удостоверяющим центром организации, с рабочей станции которой происходит обращение к веб-интерфейсу Smart Monitor, то скорее всего корневой CA сертификат уже установлен в ОС. В этом случае добавлять сертификат в список доверенных нет необходимости.

Чтобы браузер доверял сертификату Smart Monitor Web, нужно добавить CA-сертификат в хранилище доверенных корневых центров.

Откройте окно Выполнить, нажав клавиши Win + R и введите команду certmgr.msc, затем нажмите Enter. Откроется окно управления сертификатами.

Окно выполнить

В левой части окна перейдите в раздел Доверенные корневые центры сертификации - Сертификаты. В правой части окна кликните правой кнопкой мыши по пустой области и выберите Действие - Все задачи - Импорт.

Окно управления сертификатами

Импорт

Запустится мастер импорта сертификатов. В открывшемся окне нажмите Далее, затем выберите файл сертификата (ca-server-cert.pem), сохраненный на вашем компьютере, и снова нажмите Далее.

Мастер импорта сертификатов

Продолжайте нажимать Далее, оставляя параметры по умолчанию, до появления окна с сообщением Импорт успешно выполнен.

После выполнения указанных действий предупреждение о недоверенном сертификате при доступе к Smart Monitor Web больше не должно отображаться.

Настройка проверки сертификата клиента

Скопируйте CA сертификат (в данном примере - файл ca-client-cert.pem) в директорию <OSD_HOME>/config/.

На хосте, где установлен Smart Monitor Web, откройте файл <OSD_HOME>/config/opensearch_dashboards.yml. В разделе TLS Settings укажите следующие параметры (с учетом условных обозначений):

server.ssl.clientAuthentication: required
server.ssl.certificateAuthorities: [ "<OSD_HOME>/config/ca-client-cert.pem" ]
Информация

Параметр server.ssl.clientAuthentication может принимать значения optional или required. При значении required сервис веб-интерфейса будет запрашивать от браузера клиента отправку клиентского сертификата, который должен быть подписан удостоверяющим центром, корневой сертификат которого указан в параметре server.ssl.certificateAuthorities. Если одно из условий не выполняется, то обращение клиента к интерфейсу Smart Monitor будет отклонено.

После этого перезапустите и проверьте сервис opensearch-dashboards с помощью команд:

systemctl restart opensearch-dashboards
systemctl status opensearch-dashboards

Настройка параметров Smart Monitor Web для проверки сертификата клиента закончена.