Сравнение страниц

Компонент Identity Server отвечает за авторизацию в платформе. Одна из его задач - это генерация токенов и их подпись с помощью сертификата (подписанный токен это bearer token, который используется для авторизации на компонентах платформы).

В поставке по умолчанию уже есть стандартный сертификат, который необходимо заменить на свой в целях безопасности.

Примечание

Если оставить сертификат из поставки, то к компонентам платформы может получить доступ любой желающий, ему достаточно лишь иметь у себя дистрибутив платформы с таким же дефолтным сертификатом.
Используя свой стенд с платформой, атакующий генерирует токен и подписывает его дефолтным сертификатом. Далее авторизуется с помощью подписанного токена на любой платформе, где не заменили сертификат из поставки в Identity Server.

Информация
Если у Вас уже имеется готовый сертификат, созданный для localhost (т.к. он будет использоваться внутри контейнера), можно переходить к пункту 2.

Создание самоподписанного сертификата.

Скопировать конфигурационный файл openssl:
Блок кода
language actionscript3
theme RDark
sudo cp /etc/ssl/openssl.cnf ssl-selfsigned.cnf
Открыть новый файл на редактирование, например, в редакторе nano:
Блок кода
language actionscript3
theme RDark
sudo nano ssl-selfsigned.cnf
В секции [ v3_ca ] необходимо добавить строку:
Блок кода
language actionscript3
theme RDark
[ v3_ca ] #... some configs ... subjectAltName=DNS:localhost
Проверить, что в секции [ req ] есть следующая строка:
Блок кода
language actionscript3
theme RDark
[ req ] #... some configs ... x509_extensions = v3_ca

Далее выполнить команду для создания сертификата:

Блок кода

language	actionscript3
theme	RDark

sudo openssl req -x509 -newkey rsa:4096 -keyout ssl-selfsigned.key -out ssl-selfsigned.crt -days 3650 -nodes -subj "/CN=localhost" -config ssl-selfsigned.cnf

При выполнении следующей команды необходимо будет задать и подтвердить пароль для сертификата (данный пароль потребуется далее):
Блок кода
language actionscript3
theme RDark
sudo openssl pkcs12 -export -out certificate.pfx -inkey ssl-selfsigned.key -in ssl-selfsigned.crt -name "Localhost Selfsigned"

Установка нового сертификата.

Скопировать файл сертификата certificate.pfx в папку /docker-volume/identity-server/certificate.
Предупреждение
В случае отсутствия папки - необходимо её создать.

Создать файл pass.txt, содержащий пароль к сертификату certificate.pfx и скопировать его также в папку /docker-volume/identity-server/certificate

Предупреждение

Редактор Nano и Vim при сохранении файла pass.txt могут добавить переход на другую строку, что приведет к поломке контейнера Identity-server. Причем этот перевод не виден ни в этих редакторах, ни через cat/grep/sed.
Проверить и убрать перевод строки можно, например, через Sublime/VSCode.
Также опытным путем установлено, что редактор ne перевод строки не добавляет.

Если платформа уже запущена, необходимо перезапустить её с помощью команды sudo ./run.sh --restart

Предупреждение
Если ViQube установлен отдельно, то перезапустить платформу по инструкции /wiki/spaces/v22/pages/2468731943, при этом необходимо перезапустить платформу на обоих серверах.

Сравнение версий

Старая версия 2

Новая версия 3

Ключ