Создание и замена сертификата Identity Server

В поставке по умолчанию, в Identity Server платформы содержится стандартный сертификат, который можно заменить

Если у Вас имеется готовый сертификат, созданный для localhost (т.к. он будет использоваться внутри контейнера), можно переходить к пункту 2

  1. Создание самоподписанного сертификата.
    • Скопировать конфигурационный файл openssl:

      sudo cp /etc/ssl/openssl.cnf ssl-selfsigned.cnf
    • Открыть новый файл на редактирование, например, в редакторе nano:

      sudo nano ssl-selfsigned.cnf
    • В секции [ v3_ca ] необходимо добавить строку:

      [ v3_ca ]
      #... some configs ...
      subjectAltName=DNS:localhost
    • Проверить, что в секции [ req ] есть следующая строка:

      [ req ]
      #... some configs ...
      x509_extensions = v3_ca
    • Далее выполнить команду для создания сертификата:

      sudo openssl req -x509 -newkey rsa:4096 -keyout ssl-selfsigned.key -out ssl-selfsigned.crt -days 3650 -nodes -subj "/CN=localhost" -config ssl-selfsigned.cnf
    • При выполнении следующей команды необходимо будет задать и подтвердить пароль для сертификата (данный пароль потребуется далее):

      sudo openssl pkcs12 -export -out certificate.pfx -inkey ssl-selfsigned.key -in ssl-selfsigned.crt -name "Localhost Selfsigned"
  2. Установка нового сертификата.

    • Скопировать файл сертификата certificate.pfx в папку ​/docker-volume/identity-server/certificate. 

      В случае отсутствия папки - необходимо её создать.

    • Создать файл pass.txt, содержащий пароль к сертификату certificate.pfx и скопировать его также в папку /docker-volume/identity-server/certificate
    • Если платформа уже запущена, необходимо перезапустить её с помощью скрипта ./run.sh по инструкции /wiki/spaces/insidedoc/pages/1345613.

      Если ViQube установлен отдельно, то перезапустить платформу по инструкции Установка компонентов на разные серверы, при этом необходимо перезапустить платформу на обоих серверах.