Cобственный сертификат для пользовательского интерфейса (UI)¶
URI пользовательского интерфейса и URI для обращения агентов должны быть разными. При этом они могут указывать на один IP адрес.
Чтобы привязать SSL-сертификат к URI пользовательского интерфейса:
Получите SSL-сертификат. Это можно сделать различными способами.
Примечание
Обратите внимание, что при генерации ключей (например при помощи certificate authority windows), могут появиться лишние записи, что приведёт к ошибкам в работе nginx. Общий вид сертификатов:
* для сертификата.key: -----BEGIN RSA PRIVATE KEY----- ... -----END RSA PRIVATE KEY----- * для сертификата .crt: -----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----
Разместите приватный ключ и сертификат на сервере в папке /var/lib/staffcop/CA.
Создайте копию конфигурационного файла /etc/nginx/sites-available/ssl.staffcop
cp /etc/nginx/sites-available/ssl.staffcop /etc/nginx/sites-available/ssl.staffcopui
Отредактируйте созданный конфигурационный файл:
sudo nano **/etc/nginx/sites-available/ssl.staffcopui**Общий вид конфигурационного файла:
Приведите следующие поля к указанному виду:
Поле
Значение
server_name
URI пользовательского интерфейса.
Здесь можно указать несколько DNS-записей.ssl_certificate
Путь к ssl сертификату для UI.
ssl_certificate_key
Путь к приватному ключу SSL-сертификата для UI.
ssl_client_certificate
Удалите или закомментируйте строку (поставьте # в начале).
ssl_verify_depth
1
ssl_verify_client
off
Примечание
Чтобы вести раздельные логи для UI и агента, укажите пути к логам UI в полях access_log и error_log.
Создайте символьную ссылку на новый конфигурационный файл:
ln -s /etc/nginx/sites-available/ssl.staffcopui /etc/nginx/sites-enabled
Примените новую конфигурацию nginx
systemctl reload nginx