Документация COREmanager

Адреса панели управления

Настройка нового адреса

  1. Перейдите в раздел НастройкиАдреса панели → кнопка Создать.
  2. Заполните форму:
    • IP-адрес — выберите IP-адрес, который будет использоваться для приёма входящих соединений;
    • Порт — укажите номер порта, который будет использован для приёма входящих соединений. Если оставить это поле пустым, будет использовано значение по умолчанию — 1500 порт;

      Обратите внимание!
      При изменении порта панель может стать недоступна. Перед изменением откройте в правилах брандмауэра системы порт, который хотите назначить панели.
    • Запретить HTTP соединения — активируйте опцию, чтобы перенаправлять все запросы на HTTPS. С неактивной опцией встроенный web-сервер может принимать запросы как по HTTP, так и по HTTPS протоколам.

      Обратите внимание!

      80 порт используется по умолчанию в протоколе http.

      443 порт используется по умолчанию в протоколе https.

      Для запрета HTTP-соединений на 443 порту необходимо настраивать 80 порт. Если включить опцию Запретить HTTP-соединения для 80 порта, то при запросе соединения на 80 порт по HTTP будет осуществляться редирект на 443 порт по HTTPS. При этом соединение на 443 порту по HTTP будет запрещено.

    • Удалить адреса — активируйте опцию, чтобы удалить все адреса, которые прослушивают указанный порт.

Сертификаты адресов панели

Вы можете добавить SSL-сертификаты для адресов или доменного имени (необходима поддержка Server Name Indication) платформы.

SSL-сертификаты для адресов платформы необходимы, чтобы можно было зайти в веб-интерфейс через протокол https, используя IP-адрес или доменное имя.

Чтобы добавить новый сертификат, перейдите в раздел Адреса панели  Сертификаты нажать кнопку Добавить.

Let’s Encrypt сертификат

Let’s Encrypt – некоммерческий удостоверяющий центр, который предоставляет бесплатные X.509 сертификаты для TLS шифрования с помощью автоматизированного процесса, без обычного сложного процесса ручного создания, проверки, подписи, установки и обновления сертификатов для защищённых доменных имен.

Официальный сайт сервиса: Let’s Encrypt.

Let’s Encrypt имеет основные ограничения:

  • можно заказать только 5 сертификатов в неделю (TLD, включая его поддомены);
  • не поддерживаются wildcard сертификаты;
  • срок действия Let’s Encrypt сертификата 3 месяца. Это означает, что каждые 3 месяца будет выполнятся перевыпуск Let’s Encrypt сертификатов.

Существуют и другие ограничения. Подробнее в документации об ограничениях.

Перед добавлением сертификата Let’s Encrypt убедитесь, что доменное имя ведёт на существующий IP-адрес платформы, так как при добавлении сертификата Let’s Encrypt будет выполнена проверка, что вы являетесь владельцем домена.

При заказе сертификата в директории:

/usr/local/mgr5/www/letsencrypt/.well-known/acme-challenge
  1. Создаётся файл с токеном и данными для проверки. Сервис проверки Let’s Encrypt выполняет запрос по доменному имени и считывает этот токен.
  2. После успешной выдачи сертификата для продления выпущенного сертификата добавляется задание в планировщик, которое будет проверять необходимость продления сертификата:

    0 0 * * * "/usr/local/mgr5/etc/scripts/acmesh"/acme.sh --cron --home "/usr/local/mgr5/etc/scripts/acmesh" > /dev/null

При выпуске нескольких сертификатов для доменных имён третьего уровня и выше может возникнуть ошибка выпуска сертификата на большое количество поддоменов. Данное ограничение Let’s Encrypt позволяет продолжить выдачу сертификатов спустя некоторое время (обычно в пределах суток).

Поддерживается работа совместно с веб-сервером Apache и Nginx. Если никакой веб-сервер не запущен, то запускается встроенный сервер, который будет принимать запросы от Let’s Encrypt во время проверки домена.

Существующий сертификат

При добавлении существующего сертификата соответствие домена и IP-адреса не проверяется. В случае несоответствия доменного имени и IP-адреса такой сертификат в списке будет отмечен соответствующей пиктограммой.

  • Тип сертификата — тип сертификата, который необходимо заказать:
    • Let’s Encrypt сертификат;
    • Существующий сертификат.
  • Доменное имя сертификата — доменное имя, для которого будет выпущен сертификат. При использовании существующего сертификата доменное имя будет взято из него;
  • IP-адрес — адрес платформы, к которому будет привязан сертификат;
  • SSL сертификат — укажите SSL-сертификат, который вы хотите использовать;
  • Ключ SSL сертификата — укажите ключ для вашего SSL-сертификата;
  • Цепочка SSL-сертификатов — укажите цепочку SSL-сертификатов, которая будет добавлена в файл сертификата.

Server Name Indication

Если операционная система поддерживает Server Name Indication существует возможность создать несколько сертификатов на различные доменные имена. При обращении к платформе по доменному имени будет использоваться сертификат, соответствующий этому доменному имени.

Server Name Indication поддерживают операционные системы:

  • CentOS с версии 7;
  • Debian с версии 8;
  • Ubuntu с версии 16.04.

Поддерживаются сертификаты с альтернативными доменными именами.

Удалить сертификат адреса панели

Для удаления сертификата нажмите кнопку Удалить. После этого выбранный сертификат будет удалён. Для IP-адреса будет использоваться самоподписанный сертификат по умолчанию.