Skip to main content

Замена сертификата (веб-интерфейса) KUMA

Сертификат и ключ должны быть в формате pem
Файл с сертификатом необходимо назвать external.cert
Файл с ключом -  external.key 
Оба файла необходимо положить в папку /opt/kaspersky/kuma/core/certificates/
После чего перезапустить kuma core

В обычной инсталляции

Взять сертификат компании (вероятно это будет pfx), но может и другие форматы - например der.
Сконвертировать его в ключ и сертификат в формате pem и положить в папку например, для конвертации из PFX это будет команды:
Получение ключа из kumaWebIssuedByCorporateCA.pfx:
openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nocerts -out external.pem
Получение сертификата из kumaWebIssuedByCorporateCA.pfx:
openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nokeys -out external.cert
Удаление пароля из ключа:
openssl rsa -in external.pem -out external.key
Полученные файлы надо положить в папку: 
/opt/kaspersky/kuma/certificates
Выполнить смену владельца этих файлов: 
chown kuma:kuma external.cert external.key

Перезапустить ядро: 

systemctl restart kuma-core



В оказоустойчивом ядре

1. На контрольной машине или Control Plane Master получить список подов и найти кору

k0s kubectl get pod -A

2. Зайти в шел пода коры и выполнить бэкап сертификатов. (название core-deployment в каждой инсталяции уникально)

k0s kubectl exec -n kuma --stdin --tty core-deployment-779f8bf646-djszw -- /bin/bash

3. Скопировать новый сертификат с файловой системы Control Plane Master на под коры, выгрузить сертификат и ключ

k0s kubectl cp kuma-poc.pfx -n kuma core-deployment-779f8bf646-djszw:/opt/kaspersky/kuma/core/certificates

4. Найти деплоймент коры

k0s kubectl get deployments

5. Выполнить рестарт деплоймента коры

k0s kubectl rollout restart deployment -n kuma core-deployment