Для обеспечения безопасного взаимодействия между администратором и системой NAICE реализована защита пользовательских интерфейсов: lemmus, gavia, larus, castor и sterna. HTTP-трафик полностью зашифрован с использованием протокола TLS, что предотвращает перехват данных и несанкционированный доступ.
Во время установки сервисов NAICE для пользовательских интерфейсов автоматически выполняется генерация двух самоподписанных сертификата, что позволяет обеспечить защищённое взаимодействие через HTTPS на основе параметров, указанных в конфигурации. Подробнее про установку сервисов NAICE здесь.
Генерируются различные сертификаты для двух групп сервисов:
При наличии стороннего центра сертификации (ЦС) предусмотрена возможность заменить самоподписанные сертификаты на выпущенные сторонним ЦС.
Сертификат должен соответствовать всем нижеуказанным требованиям для обеспечения корректной работы с сервисом NAICE:
Установка сертификатов происходит в два этапа:
Для того чтобы загрузить собственные сертификаты для пользовательских интерфейсов в NAICE перейдите на страницу Настройки системы → Хранилище сертификатов → Серверные сертификаты (для доступа необходимо наличие у системного пользователя привилегии на редактирование системных настроек). На странице содержится таблица, в которой уже есть записи с автоматически сгенерированными самоподписанными сертификатами DEFAULT_WEB_<hostname> и DEFAULT_PORTAL_<hostname>, которые используются в системе по умолчанию сразу после установки.

Для перехода в форму загрузки сертификата нажмите
. В форме выберите тип сертификата - HTTPS.

Необходимо также заполнить остальные поля формы:

После указания всех обязательных настроек нажмите кнопку Добавить. В момент загрузки произойдет первичная валидация сертификата - удовлетворение требованиям, соответствие ключа сертификату, проверка срока действия сертификата. Если всё в порядке, то сертификат будет загружен и в таблице серверных сертификатов появится новая запись:

При необходимости есть возможность посмотреть детальную информацию о сертификате, нажав на имя сертификата в таблице:

Процесс загрузка сертификатов для интерфейсов WEB и портала полностью аналогичен.
При установке в схеме с резервированием без VRRP может потребоваться использование различных сертификатов безопасности для разных узлов NAICE. В таком случае на этом этапе необходимо загрузить сертификаты для всех узлов. |
На предыдущем шаге сертификаты были загружены в хранилище, теперь необходимо настроить их использование. Для этого необходимо перейти на страницу Настройки системы → Узлы. На данной странице находится список всех узлов NAICE, число которых будет отличаться в зависимости от схемы установки. Для каждого узла возможно конфигурирования узлозависимых настроек.

Чтобы перейти к настройкам требуется кликнуть на имя узла. Произойдет переход на форму настройки:

По умолчанию для узла выбраны сертификаты, автоматически сгенерированные при установке системы. Использование данных сертификатов небезопасно, так как они являются самоподписанными и всеми браузерами рассматриваются как недоверенные. Пользователю требуется дать явное согласие на переход на сайт с таким сертификатом.
Для замены сертификатов на загруженные ранее необходимо:
Настройка веб-интерфейса портала доступна только при наличии лицензии уровня ADVANCED и выше. |

После выбора необходимых сертификатов нажать Сохранить.
Некорректная настройка сертификатов может привести к потере доступа к веб-интерфейсам. После применения настроек интерфейс управления будет перезапущен. Для применения настроек в браузере у текущих системных пользователей автоматически обновится страница, сессии пользователей, при этом, не будут завершены. |
В случае установки в схеме с резервированием вышеуказанные шаги следует повторить для каждого из узлов. Серверные сертификаты могут совпадать для разных узлов. |
Для просмотра серверных сертификатов необходимо перейти на страницу Настройки системы → Хранилище сертификатов → Серверные сертификаты (для доступа необходимо наличие у системного пользователя привилегии на чтение системных настроек).
При нажатии на имя сертификата в таблице открывается страница с детальной информацией о сертификате:

При приближении срока действия сертификатов к концу за 30 дней в веб-интерфейсе в таблице Настройки системы → Хранилище сертификатов → Серверные сертификаты рядом с именем сертификата начинает отображаться желтая иконка предупреждения:

После истечения срока действия сертификата иконка станет красной:

Также на странице Мониторинг → Система → Системные события будут отображаться системные события с аналогичными предупреждениями:

События будут дублироваться каждые сутки до момента удаления сертификата.
Посмотреть метрики / получить параметры nginx можно командой:
Для веб интерфейса NAICE:
echo | openssl s_client -showcerts -connect <IP-адрес или доменное имя>:443 2>&1 | openssl x509 -noout -dates |
Для веб интерфейса портала NAICE:
echo | openssl s_client -showcerts -connect <IP-адрес или доменное имя>:8443 2>&1 | openssl x509 -noout -dates |
Nginx реализует метод, возвращающий информацию о SSL-сертификате в виде JSON. |
Пример вывода:
notBefore=Feb 25 04:32:04 2026 GMT notAfter=Feb 1 04:32:04 2126 GMT |
Для naice-gavia:
curl -k https://<IP-адрес или доменное имя хоста для NAICE>:8080/actuator/info |
Для naice-lemmus:
curl -k https://<IP-адрес или доменное имя хоста для NAICE>:8083/actuator/info |
Для naice-castor:
curl -k https://<IP-адрес или доменное имя хоста NAICE>:8095/actuator/info |
{"certificationInfo":"[\n[\n Version: V3\n Subject: CN=naice.eltex.loc\n Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11\n\n Key: Sun RSA public key, 2048 bits\n params: null\n modulus: 20486967698613267930909072363030876768829382668037653959787293720836693037928105253241476741132543189024216394802025956688056563424715596228948534991165300263386817165467478160825626126485740592732390380827272721590133814642584953058405940822026985924893382111244494224675400688570979828213773583419015857751195999453517367776747967524791333248346299091289472585316995257682843651922067607138984537621206898106292347585416976597088550184844009552218272531760031782701234470695835451229760735228708466934677559090711246811340726563284325073340020794600896874630686783268793254419061795884880349881938140092553567913571\n public exponent: 65537\n Validity: [From: Wed Feb 25 04:31:57 UTC 2026,\n To: Fri Feb 01 04:31:57 UTC 2126]\n Issuer: CN=naice.eltex.loc\n SerialNumber: 6b:91:5f:9f:fd:8a:aa:af:d1:49:ad:9d:5a:d3:5e:2f:f8:68:a0:dc\n\nCertificate Extensions: 4\n[1]: ObjectId: 2.5.29.37 Criticality=false\nExtendedKeyUsages [\n serverAuth\n clientAuth\n]\n\n[2]: ObjectId: 2.5.29.15 Criticality=true\nKeyUsage [\n DigitalSignature\n Non_repudiation\n Key_Encipherment\n Key_Agreement\n Key_CertSign\n]\n\n[3]: ObjectId: 2.5.29.17 Criticality=false\nSubjectAlternativeName [\n IPAddress: 100.110.3.35\n]\n\n[4]: ObjectId: 2.5.29.14 Criticality=false\nSubjectKeyIdentifier [\nKeyIdentifier [\n0000: D2 9A 06 D5 1F 13 45 D1 68 C3 EB 3C 08 26 DB 5C ......E.h..<.&.\\\n0010: FE E5 92 00 ....\n]\n]\n\n]\n Algorithm: [SHA256withRSA]\n Signature:\n0000: 7F 27 56 8D 5F E5 98 59 1A 82 0B 43 BB 24 19 AA .'V._..Y...C.$..\n0010: 8B A0 19 2E B2 12 63 6C 2B 2D B1 19 11 61 B4 58 ......cl+-...a.X\n0020: B7 10 91 F8 A5 60 54 98 0C D5 D9 88 2C 3F 53 C6 .....`T.....,?S.\n0030: 40 75 EC 49 CC 05 13 25 70 A2 43 55 67 86 D5 E7 @u.I...%p.CUg...\n0040: E6 60 50 CD 4F 1B 79 DB 9C 33 E1 BE 18 77 68 65 .`P.O.y..3...whe\n0050: FD 58 5B 6C BA 5C FA DB 4E 12 3B B4 1E 29 75 2A .X[l.\\..N.;..)u*\n0060: 72 BD 4F DA 7D 99 3F 7B D4 33 4C C8 10 EB 4E F2 r.O...?..3L...N.\n0070: 90 5A 57 BD 39 C3 D5 DA DF 18 A2 6C 86 45 3E 0C .ZW.9......l.E>.\n0080: 0A C7 E7 EF 88 16 E1 8F DF 81 0D 92 45 9A 46 7A ............E.Fz\n0090: 61 D3 0B A0 5E DA 7F F6 EF 35 5B E1 4F 91 D8 02 a...^....5[.O...\n00A0: 75 0A 99 52 5F 2F 24 A0 0C 7A 44 77 4E 4A F4 31 u..R_/$..zDwNJ.1\n00B0: D1 F9 35 BC BD A3 DF 08 71 16 AC 32 D4 F6 BF EE ..5.....q..2....\n00C0: 9F B5 25 58 64 08 BA D5 79 3C B7 77 E4 25 9B 92 ..%Xd...y<.w.%..\n00D0: 51 A6 38 21 F6 09 BA B1 20 C8 E1 69 9E 04 44 B6 Q.8!.... ..i..D.\n00E0: 43 A3 A9 99 63 72 53 B1 F9 36 9F E5 35 5E F8 02 C...crS..6..5^..\n00F0: F1 F5 6B 16 40 FA F3 73 68 48 7E 47 97 B8 92 D4 ..k.@..shH.G....\n\n]"} |
Для naice-gavia:
https://<IP-адрес или доменное имя хоста для NAICE>:8080/actuator/prometheus |
Для naice-lemmus:
https://<IP-адрес или доменное имя хоста для NAICE>:8083/actuator/prometheus |
Для naice-castor:
https://<IP-адрес или доменное имя хоста для NAICE>:8095/actuator/prometheus |
# HELP cert_valid_from The start date of the validity period in milliseconds
# TYPE cert_valid_from gauge
cert_valid_from{application="lemmus"} 1.771993917E12
# HELP cert_valid_to The end date of the validity period in milliseconds
# TYPE cert_valid_to gauge
cert_valid_to{application="lemmus"} 4.925593917E12
Для проверки дат можно использовать следующие команды в терминале: Конвертация значения в целое число:
Конвертация полученного целого числа в дату:
В результате будет получена читаемая дата начала действия сертификата. |