Замена сертификата (веб - интерфейсе) KUMA
Сертификат и ключ должны быть в формате pem
Файл с сертификатом необходимо назвать external.cert
Файл с ключом - external.key
Оба файла необходимо положить в папку /opt/kaspersky/kuma/core/certificates/
После чего перезапустить kuma core
В обычной инсталляции
Взять сертификат компании (вероятно это будет pfx), но может и другие форматы - например der.
Сконвертировать его в ключ и сертификат в формате pem и положить в папку например, для конвертации из PFX это будет команды:
Получение ключа из kumaWebIssuedByCorporateCA.pfx:
openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nocerts -out external.pem
Получение сертификата из kumaWebIssuedByCorporateCA.pfx:
openssl pkcs12 -in kumaWebIssuedByCorporateCA.pfx -nokeys -out external.cert
(Опционально) если ключ версии PKCS#1 то его нужно сконвертировать в PKCS#8, это можно сделать соедующей командой:
openssl pkcs8 -in private.key -topk8 -nocrypt -out new_private.key
Удаление пароля из ключа:
openssl rsa -in external.pem -out external.key
Полученные файлы надо положить в папку:
/opt/kaspersky/kuma/certificates
Выполнить смену владельца этих файлов:
chown kuma:kuma external.cert external.key
Перезапустить ядро:
systemctl restart kuma-core
В оказоустойчивом ядре
1. На контрольной машине или Control Plane Master получить список подов и найти кору
k0s kubectl get pod -A
2. Зайти в шел пода коры и выполнить бэкап сертификатов. (название core-deployment в каждой инсталяции уникально)
k0s kubectl exec -n kuma --stdin --tty core-deployment-779f8bf646-djszw -- /bin/bash
3. Скопировать новый сертификат с файловой системы Control Plane Master на под коры, выгрузить сертификат и ключ
k0s kubectl cp kuma-poc.pfx -n kuma core-deployment-779f8bf646-djszw:/opt/kaspersky/kuma/core/certificates
4. Найти деплоймент коры
k0s kubectl get deployments
5. Выполнить рестарт деплоймента коры
k0s kubectl rollout restart deployment -n kuma core-deployment