TLS-сертификаты
Соединения между компонентами Sage происходят по защищённым соединениям с использованием сертификатов TLS.
Сертификаты по умолчанию
По умолчанию установщик Sage сгенерирует все необходимые сертификаты автоматически.
Использование собственных сертификатов
Если вы хотите использовать собственные TLS-ключи и сертификаты:
- Сохраните их в формате PEM
- Поместите в директорию
/certificates/{{ sage_clan }}_{{ sage_env }}_{{ sage_datacenter }}на конт рольном хосте - После запуска контейнера установщика сертификаты будут туда смонтированы
Структура файлов сертификатов
| Файл | Описание | Для каких хостов |
|---|---|---|
root-ca.pem | Цепочка сертификатов для валидации всех выписанных ключей | Все хосты |
{{ hostname }}-key.pem | TLS-ключ для хоста | Каждый хост из hosts.yml |
sage-{{ hostname }}.pem | TLS-сертификат для хоста | Хосты в группе nginx |
sage-internal.pem | Внутренний TLS-сертификат | Хосты в группе nginx |
spirit.pem | Сертификат для Spirit IAM | Хосты в группе spirit_iam_apps |
Требования к сертификатам
Сертификат sage-{{ hostname }}.pem
Должен быть выписан на доменные имена:
{{ hostname }}{{ sage_external_domain }}
Сертификат sage-internal.pem
Должен быть выписан на доменные имена:
celestia-mage.internal.{{ sage_external_domain }}dp-connector.internal.{{ sage_external_domain }}dtracing-collector.internal.{{ sage_external_domain }}frost-rw.internal.{{ sage_external_domain }}grafana.internal.{{ sage_external_domain }}manul.internal.{{ sage_external_domain }}pager.internal.{{ sage_external_domain }}sauron.internal.{{ sage_external_domain }}
Рекомендация: Предпочтительно использовать wildcard-домен
*.internal.{{ sage_external_domain }}, однако при невозможности его выписать допускается перечислить домены в сертификат е.
Сертификат spirit.pem
Должен быть выписан на доменные имена:
{{ hostname }}{{ sage_spirit_external_domain }}
Примечание
Файлы, содержащие сертификаты для доменных имён:
{{ sage_external_domain }}*.internal.{{ sage_external_domain }}{{ sage_spirit_external_domain }}
могут содержать как разные сертификаты, так и один и тот же сертификат.