Управление сертификатами

Начать пользоваться

Изменение сертификатов используемых в ВКС “ИРИДА”

Ссылки на сертификаты прописаны в следующих файлах компонентов системы:

/etc/nginx/sites-available/irida.conf
/etc/janus/janus.cfg
/etc/janus/janus.transport.http.cfg
/srv/irida/irida.workflow/server/config/config.json

Информация о подключаемых сертификатах для основного модуля системы находится в файле конфигурации веб-сервера Nginx /etc/nginx/sites-available/irida.conf

Изменению подлежат следующие параметры:

ssl_certificate /var/certs/irida.crt;
ssl_certificate_key /var/certs/irida.key;

За организацию видеконференцсвязи отвечает модуль с конфигурационными файлами /etc/janus/janus.cfg и /etc/janus/janus.transport.http.cfg

Следующие параметры должны быть изменены в обоих файлах, если система сконфигурирована иначе:

cert_pem = /var/certs/irida.crt
cert_key = /var/certs/irida.key

Конфигурационный файл компонента, отвечающего за визуализацию бизнес-процессов находится по адресу /srv/irida/irida.workflow/server/config/config.json

В этом файле следует изменить следующие параметры:

"certs": {
    "key": "/var/certs/irida.key",
    "cert": "/var/certs/irida.crt"
},

Установка сертификатов Let’s Encrypt

При использовании сертификатов letsencrypt в роли .crt файла будет выступать файл cert.pem, а в роли ключа .key privkey.pem.

Соответственно надо заменить /var/certs/irida.key на /etc/letsencrypt/live/<#DOMAINNAME#>/privkey.pem, а /var/certs/irida.crt на /etc/letsencrypt/live/<#DOMAINNAME#>/cert.pem.

Установка и использование certbot & nginx в ОС Debian 9 и Ubuntu

Установка бота для автоматического обновления сертификатов выполняется следующей командой:

apt-get install certbot

Для получения сертификатов необходимо настроить вебсервер Nginx, выполнив последовательность шагов:

1. Создать директорию для certbot:

mkdir -p /var/www/html/.well-known/acme-challenge

2. Создать директорию для хранения конфигурационного файла:

mkdir -p /etc/nginx/includes

3. В созданной в пункте 2 директории создать файл certbot.conf и вписать в него следующий код:

location /.well-known {
    root /var/www/html;
}

4. В http секции nginx в файле /etc/nginx/sites-enabled/irida_http.conf необходимо подключить созданный в пункте 3 файл:

server {
	listen 80 default_server;
	listen [::]:80 default_server;
	server_name _;

	location / {

		return 301 https://$host$request_uri;

	}

	include /etc/nginx/includes/certbot.conf;
                            
}      

5. Переинициализировать веб-сервер с новой конфигурацией с помощью следующей команды:

systemctl reload nginx

6. Создать конфигурационный файл для certbot:

echo -e 'authenticator = webroot \nwebroot-path = /var/www/html \npost-hook = service nginx reload \ntext = True\n' > /etc/letsencrypt/cli.ini

При использовании совместно с ВКС "Ирида" post-hook = service nginx reload необходимо сменить на post-hook = /usr/share/irida/irida.main/utils/update_le_certs.sh

7. Получить сертификат:

Сначала проверить, что все работает корректно (т.к. количество попыток ограниченно) с помощью команды:

certbot certonly --dry-run -d domain.name

Если всё прошло без ошибок, то получить сертификат с помощью следующей команды:

certbot certonly -d domain.name