Установка
Настройка TLS (Transport Layer Security) на hbf-агенте (terraform) обеспечивает шифрование трафика между сервером и клиентом, что повышает безопасность передаваемых данных. В этой документации описан процесс настройки TLS на hbf-агенте (terraform), включая использование предоставленного конфигурационного файла.
Прежде чем приступить к настройке TLS, убедитесь, что у вас есть:
- Установленный hbf-агент (terraform)
- Включен и настроен TLS на hbf-сервере
- Сертификат SSL и соответствующий приватный ключ. Если у вас их нет, вы можете получить их у сертификационного центра (CA) или создать самоподписанный сертификат для тестовых целей.
Шаги по настройке TLS
Создайте файл конфигурации hbf-агента (terraform) для редактирования:
sudo nano /etc/cmd/sgroups-tf-v2/internal/provider/tls-config.tf
Далее необходимо настроить секцию для TLS:
- Insecure TLS
- Secure TLS
- mTLS
provider "sgroups" {
authn = {
tls = {
cert = {}
server_verify = {}
}
}
}
В случае если сертификат клиента не проверяются, то значения для cert и server_verify можно не указывать.
provider "sgroups" {
authn = {
tls = {
cert = {
key_file = "/etc/ssl/private/key-file.pem"
cert_file = "/etc/ssl/certs/cert-file.pem"
}
server_verify = {}
}
}
}
Для подключения secure TLS требуется наличие сертификата, и необходимо указать значения в key-file и cert-file актуальных сертификатов и ключей.
key-file - Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
cert-file - Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
provider "sgroups" {
authn = {
tls = {
cert = {
key_file = "/etc/ssl/private/key-file.pem"
cert_file = "/etc/ssl/certs/cert-file.pem"
}
server_verify = {
server_name = "server-name"
root_ca_files = ["file1.pem", "file2.pem", ...]
}
}
}
}
Для подключения mTLS требуется наличие сертификата, и необходимо указать значения в key-file и cert-file актуальных сертификатов и ключей.
key-file - Необходимо указать полный путь /etc/ssl/private/key-file.pem или относительный путь ./../key-file.pem с названием файла ключа.
cert-file - Необходимо указать полный путь /etc/ssl/certs/cert-file.pem или относительный путь ./../cert-file.pem с названием файла сертификата.
server_name - При включенном режиме проверки сертификата сервера mTLS можно указать имя сервера. Поле не обязательное для заполнения, в случае если имя сервера не будет указано то подлинность будет проверяться по данным сертификата.
root_ca_files - При включенном режиме проверки сертификата сервера mTLS необходимо перечислить список certificates authorities с указанием относительного или полного пути к файлам.