Установка Мониторинга — офлайн, собственные сертификаты

Цель

Установить Мониторинг на сервер без доступа в интернет, импортировав собственные SSL-сертификаты вместо автоматически генерируемых системой.

Предусловия

• Выполнены условия из страницы «Установка Мониторинга — офлайн, автоматические сертификаты» (перенос архива и проверка sha512).
• Подготовлены собственные сертификаты согласно странице «Требования к сертификатам безопасности».
• Файлы сертификатов размещены на сервере.

Что потребуется

• Архив printum-x.y.z.tar.gz и файл .sha512 уже скопированы и распакованы на сервере (см. офлайн-установку с автосертификатами).
• <client.crt> — сертификат сервера.
• <client.key> — ключ к сертификату.
• <ca.crt> — CA-сертификат.
• IP-адрес или хостнейм сервера.
• (Опционально) пароль суперпользователя.

Шаги установки

Шаг 1. Выполнить шаги 1–5 из офлайн-установки с автосертификатами

• Создать папку
• Перенести архив
• Проверить sha512
• Распаковать архив, выполнить chmod u+x ./install.sh
• При необходимости задать MON_ADMIN_PASSWORD.

Шаг 2. Запустить установку с указанием сертификатов

С адресацией по IP-адресу:

sudo IP_ADDRESS=<ip> SSL_CERT=client.crt SSL_KEY=client.key SSL_CERT_CA=ca.crt -E ./install.sh -s agent

С адресацией по доменному имени:

sudo MON_HOSTNAME=<hostname> SSL_CERT=client.crt SSL_KEY=client.key SSL_CERT_CA=ca.crt -E ./install.sh -s agent

В переменных SSL_CERT, SSL_KEY, SSL_CERT_CA допускается указывать как полный путь к файлу, так и только имя файла, если установка запускается из директории с сертификатами.

Ожидаемый результат

• Установка завершается без ошибок.
• HTTPS-соединения с сервером используют переданные собственные сертификаты.
• В выводе указаны URL Панели администратора Мониторинга и URL Личного кабинета.

Как проверить установку

• Открыть URL Личного кабинета и Панели администратора в браузере.
• Проверить детали сертификата в браузере: издатель и subject должны соответствовать переданным файлам.
• Авторизоваться (логин printum / пароль printum или MON_ADMIN_PASSWORD).

Типовые ошибки

• Файлы сертификатов не найдены — проверить пути и права доступа, либо запускать ./install.sh из директории с сертификатами.
• Ошибки sha512 — повторно перенести архив (см. офлайн-установку с автосертификатами).
• Несовпадение FQDN/IP — сертификат должен содержать Subject Alternative Name с FQDN, hostname и IP-адресами.

Что проверить перед эскалацией

• Содержимое и атрибуты сертификатов (X509v3 extensions, SAN).
• Версия дистрибутива Мониторинга.
• Полный вывод установочного скрипта.

Что важно помнить

• По окончании срока действия сертификата его потребуется заменить — см. раздел «Обновление сертификатов» в Руководстве администратора.

Следующие шаги

• Завершение установки Мониторинга — первый вход и проверка
• Установка ПринтМенеджера

Связанные страницы

• Требования к сертификатам безопасности
• Установка Мониторинга — офлайн, автоматические сертификаты
• Установка Мониторинга — онлайн, собственные сертификаты
• Завершение установки Мониторинга — первый вход и проверка