Перейти к основному содержимому
Версия: 1.9

TLS-сертификаты

Соединения между компонентами Sage происходят по защищённым соединениям с использованием сертификатов TLS.

Сертификаты по умолчанию

По умолчанию установщик Sage сгенерирует все необходимые сертификаты автоматически.

Использование собственных сертификатов

Если вы хотите использовать собственные TLS-ключи и сертификаты:

  1. Сохраните их в формате PEM
  2. Поместите в директорию /certificates/{{ sage_clan }}_{{ sage_env }}_{{ sage_datacenter }} на контрольном хосте
  3. После запуска контейнера установщика сертификаты будут туда смонтированы

Структура файлов сертификатов

ФайлОписаниеДля каких хостов
root-ca.pemЦепочка сертификатов для валидации всех выписанных ключейВсе хосты
{{ hostname }}-key.pemTLS-ключ для хостаКаждый хост из hosts.yml
sage-{{ hostname }}.pemTLS-сертификат для хостаХосты в группе nginx
sage-internal.pemВнутренний TLS-сертификатХосты в группе nginx
spirit.pemСертификат для Spirit IAMХосты в группе spirit_iam_apps

Требования к сертификатам

Сертификат sage-{{ hostname }}.pem

Должен быть выписан на доменные имена:

  • {{ hostname }}
  • {{ sage_external_domain }}

Сертификат sage-internal.pem

Должен быть выписан на доменные имена:

  • celestia-mage.internal.{{ sage_external_domain }}
  • dp-connector.internal.{{ sage_external_domain }}
  • dtracing-collector.internal.{{ sage_external_domain }}
  • frost-rw.internal.{{ sage_external_domain }}
  • grafana.internal.{{ sage_external_domain }}
  • manul.internal.{{ sage_external_domain }}
  • pager.internal.{{ sage_external_domain }}
  • sauron.internal.{{ sage_external_domain }}

Рекомендация: Предпочтительно использовать wildcard-домен *.internal.{{ sage_external_domain }}, однако при невозможности его выписать допускается перечислить домены в сертификате.

Сертификат spirit.pem

Должен быть выписан на доменные имена:

  • {{ hostname }}
  • {{ sage_spirit_external_domain }}

Примечание

Файлы, содержащие сертификаты для доменных имён:

  • {{ sage_external_domain }}
  • *.internal.{{ sage_external_domain }}
  • {{ sage_spirit_external_domain }}

могут содержать как разные сертификаты, так и один и тот же сертификат.