Данная инструкция описывает замену предустановленных самоподписанных сертификатов на действительные в компонентах HOSTVM VDI для конфигурации высокой доступности.
По умолчанию в компонентах HOSTVM VDI используются предустановленные самоподписанные сертификаты. Использование этих сертификатов предполагается для тестовых сред, в остальных случаях рекомендуется установка действительных сертификатов, используемых в конечной инфраструктуре.
Действия на балансировщике (haproxy)
Перед началом работ выполните резервное копирование текущих сертификатов для обеспечения возможности возврата к предыдущей конфигурации.
Действия необходимо выполнить на каждом балансировщике.
Требования к сертификату
Сертификат и приватный ключ должны быть выпущены на полное доменное имя балансировщика (FQDN), используемое для доступа к брокерам HOSTVM VDI (порталам пользователя и администратора).
Указанное FQDN должно соответствовать DNS-записи и статическому виртуальному IP-адресу (VIP) балансировщика.
После замены сертификатов на балансировщиках и добавления корневого CA сертификата необходимо выполнить обновление конфигурации.
Запустите мастер установки и следуйте его указаниям. Воспользуйтесь одной из нижеприведенных инструкций в зависимости от используемой операционной системы туннелера:
Шаг 1: На вопрос IP адрес или FQDN брокера: обязательно укажите FQDN балансировщика, на который выпущен новый сертификат. Не используйте IP-адрес;
Шаг 2: При авторизации на брокере используйте учетную запись с правами администратора;
Шаг 3: На вопрос Хотите сгенерировать новый сертификат? [y/N]: обязательно ответьте N (нет). Ответ y (да) приведет к генерации самоподписанного сертификата, что нарушит цепочку доверия.
Пример успешной конфигурации
После успешного выполнения всех шагов убедитесь, что подключение к порталу пользователя и администратора через FQDN балансировщика работает корректно.
Пример типовой ошибки при несоответствии FQDN балансировщика и сертификата
Если введенный FQDN не совпадает с именем в сертификате балансировщика, система вернет ошибку:
В этом случае убедитесь, что в процессе конфигурации вы корректно ввели FQDN балансировщика и установленный на нем сертификат выпущен именно на это имя. После выполнения проверки, запустите повторно обновление конфигурации туннелера.
Добро пожаловать в мастер установки HOSTVM VDI Tunneler.
Этот мастер шаг за шагом проведет вас через процесс установки.
Пожалуйста, заполните все поля корректными значениями.
Тип соединения с брокером (http или https): https
IP адрес или FQDN брокера: hostvm-haproxy.hostvm.test
На брокере доступны следующие аутентификаторы:
hostvm.local
hostvm.test
local
Укажите аутентификатор из списка доступных, либо оставьте пустым, если используете встроенную учетную запись администратора:
Имя пользователя: root
Пароль:
Конфигурация системы...
У вас уже есть сгенерированный сертификат!
Хотите сгенерировать новый сертификат? [y/N]: n
Установка завершена.
Ошибка SSL подключения, проверьте действительность сертификата и адрес брокера:
HTTPSConnectionPool(host='hostvm-proxy.hostvm.test', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLCertVerificationError("hostname 'hostvm-proxy.hostvm.test' doesn't match 'hostvm-haproxy.hostvm.test'")))
