​Общее описание

Для обеспечения безопасного взаимодействия между администратором и системой NAICE реализована защита пользовательских интерфейсов: lemmus, gavialarus, castor и sterna. HTTP-трафик полностью зашифрован с использованием протокола TLS, что предотвращает перехват данных и несанкционированный доступ. 

Во время установки сервисов NAICE для пользовательских интерфейсов автоматически выполняется генерация двух самоподписанных сертификата, что позволяет обеспечить защищённое взаимодействие через HTTPS на основе параметров, указанных в конфигурации. Подробнее про установку сервисов NAICE здесь.

Генерируются различные сертификаты для двух групп сервисов:

  1. Административные сервисы:
  2. Портальные сервисы:

При наличии стороннего центра сертификации (ЦС) предусмотрена возможность заменить самоподписанные сертификаты на выпущенные сторонним ЦС. 

Установка сертификата, выпущенного сторонним ЦС

Требования к сертификату

Сертификат должен соответствовать всем нижеуказанным требованиям для обеспечения корректной работы с сервисом NAICE:

  1. Файл сертификата должен иметь расширение .crt, .cer или .pem.
  2. Сертификат должен быть закодирован в формате BASE64. DER-кодировка не поддерживается.
  3. Файл приватного ключа должен иметь расширение .pem или .key.
  4. Ключ должен быть закодирован в формате BASE64 по стандарту PKCS #1 или PKCS #8.
  5. Ключ должен шифроваться алгоритмом AES или не иметь шифрования.
  6. В пароле приватного ключа не допускается использование символов: "$", " ' ", " " ", " ` ", скобок и пробела.
  7. Сертификат и приватный ключ должны предоставляться в отдельных файлах (Импорт контейнеров сертификатов не поддерживается).
  8. Работа с сертификатами, использующими ГОСТ шифрование, не поддерживается.
  9. Сертификат должен содержать атрибуты:
    1. Subject: CN;
    2. X509v3 Key Usage: Digital Signature, Key Encipherment (обязательно critical);
    3. X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication;
    4. X509v3 Subject Alternative Name: должен включать DNS-имя, соответствующее DNS имени сервера или IP Address, соответствующий адресу сервера;
    5. В случае, если NAICE используется в схеме резервирования с VRRP, атрибут X509v3 Subject Alternative Name должен включать VRRP-адрес NAICE;
    6. В случае, если NAICE используется в схеме резервирования без VRRP, атрибут X509v3 Subject Alternative Name должен включать DNS-имя или IP Address каждого сервера с NAICE.
  10. При использовании цепочек сертификатов, включающих сертификаты корневого ЦС и всех промежуточных, необходимо чтобы в первым сертификатов в цепочке был сертификат сервера.


Установка сертификатов

Установка сертификатов происходит в два этапа:

  1. загрузка сертификатов в Хранилище сертификатов;
  2. применение сертификатов.

Загрузка сертификатов в Хранилище сертификатов

Для того чтобы загрузить собственные сертификаты для пользовательских интерфейсов в NAICE перейдите на страницу Настройки системы → Хранилище сертификатов → Серверные сертификаты (для доступа необходимо наличие у системного пользователя привилегии на редактирование системных настроек). На странице содержится таблица, в которой уже есть записи с автоматически сгенерированными самоподписанными сертификатами DEFAULT_WEB_<hostname> и DEFAULT_PORTAL_<hostname>, которые используются в системе по умолчанию сразу после установки.

Для перехода в форму загрузки сертификата нажмите . В форме выберите тип сертификата - HTTPS.

Необходимо также заполнить остальные поля формы:

После указания всех обязательных настроек нажмите кнопку Добавить. В момент загрузки произойдет первичная валидация сертификата - удовлетворение требованиям, соответствие ключа сертификату, проверка срока действия сертификата. Если всё в порядке, то сертификат будет загружен и в таблице серверных сертификатов появится новая запись:

При необходимости есть возможность посмотреть детальную информацию о сертификате, нажав на имя сертификата в таблице:

Процесс загрузка сертификатов для интерфейсов WEB и портала полностью аналогичен.

При установке в схеме с резервированием без VRRP может потребоваться использование различных сертификатов безопасности для разных узлов NAICE. В таком случае на этом этапе необходимо загрузить сертификаты для всех узлов.


Применение сертификатов для интерфейсов

На предыдущем шаге сертификаты были загружены в хранилище, теперь необходимо настроить их использование. Для этого необходимо перейти на страницу Настройки системы → Узлы. На данной странице находится список всех узлов NAICE, число которых будет отличаться в зависимости от схемы установки. Для каждого узла возможно конфигурирования узлозависимых настроек. 

Чтобы перейти к настройкам требуется кликнуть на имя узла. Произойдет переход на форму настройки:

По умолчанию для узла выбраны сертификаты, автоматически сгенерированные при установке системы. Использование данных сертификатов небезопасно, так как они являются самоподписанными и всеми браузерами рассматриваются как недоверенные. Пользователю требуется дать явное согласие на переход на сайт с таким сертификатом.

Для замены сертификатов на загруженные ранее необходимо:

После выбора необходимых сертификатов нажать Сохранить.

Некорректная настройка сертификатов может привести к потере доступа к веб-интерфейсам. 

После применения настроек интерфейс управления будет перезапущен. Для применения настроек в браузере у текущих системных пользователей автоматически обновится страница, сессии пользователей, при этом, не будут завершены.

В случае установки в схеме с резервированием вышеуказанные шаги следует повторить для каждого из узлов. Серверные сертификаты могут совпадать для разных узлов.

Просмотр параметров сертификата

Просмотр сертификатов через WEB GUI NAICE

Просмотр детальной информации о сертификате

Для просмотра серверных сертификатов необходимо перейти на страницу Настройки системы → Хранилище сертификатов → Серверные сертификаты (для доступа необходимо наличие у системного пользователя привилегии на чтение системных настроек).

При нажатии на имя сертификата в таблице открывается страница с детальной информацией о сертификате:

Отслеживание срока действия сертификатов

При приближении срока действия сертификатов к концу за 30 дней в веб-интерфейсе в таблице Настройки системы → Хранилище сертификатов → Серверные сертификаты рядом с именем сертификата начинает отображаться желтая иконка предупреждения: 

После истечения срока действия сертификата иконка станет красной:


Также на странице Мониторинг → Система → Системные события будут отображаться системные события с аналогичными предупреждениями:

События будут дублироваться каждые сутки до момента удаления сертификата.

Получение метрик WEB GUI NAICE и WEB портала по параметрам SSL сертификатов

Посмотреть метрики / получить параметры nginx можно командой:

Для веб интерфейса NAICE:

echo | openssl s_client -showcerts -connect <IP-адрес или доменное имя>:443 2>&1 | openssl x509 -noout -dates

Для веб интерфейса портала NAICE:

echo | openssl s_client -showcerts -connect <IP-адрес или доменное имя>:8443 2>&1 | openssl x509 -noout -dates


Nginx реализует метод, возвращающий информацию о SSL-сертификате в виде JSON.
Метод возвращает следующую информацию о сертификате: кем выдан, дата начала действия, дата окончания действия.

Пример вывода:

notBefore=Feb 25 04:32:04 2026 GMT
notAfter=Feb  1 04:32:04 2126 GMT

Получение метрик GAVIA, LEMMUS, CASTOR по параметрам SSL сертификатов

Ссылка для получения полной информации о сертификате

Для naice-gavia:

curl -k https://<IP-адрес или доменное имя хоста для NAICE>:8080/actuator/info

Для naice-lemmus:

curl -k https://<IP-адрес или доменное имя хоста для NAICE>:8083/actuator/info

Для naice-castor:

curl -k https://<IP-адрес или доменное имя хоста NAICE>:8095/actuator/info


{"certificationInfo":"[\n[\n  Version: V3\n  Subject: CN=naice.eltex.loc\n  Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11\n\n  Key:  Sun RSA public key, 2048 bits\n  params: null\n  modulus: 20486967698613267930909072363030876768829382668037653959787293720836693037928105253241476741132543189024216394802025956688056563424715596228948534991165300263386817165467478160825626126485740592732390380827272721590133814642584953058405940822026985924893382111244494224675400688570979828213773583419015857751195999453517367776747967524791333248346299091289472585316995257682843651922067607138984537621206898106292347585416976597088550184844009552218272531760031782701234470695835451229760735228708466934677559090711246811340726563284325073340020794600896874630686783268793254419061795884880349881938140092553567913571\n  public exponent: 65537\n  Validity: [From: Wed Feb 25 04:31:57 UTC 2026,\n               To: Fri Feb 01 04:31:57 UTC 2126]\n  Issuer: CN=naice.eltex.loc\n  SerialNumber: 6b:91:5f:9f:fd:8a:aa:af:d1:49:ad:9d:5a:d3:5e:2f:f8:68:a0:dc\n\nCertificate Extensions: 4\n[1]: ObjectId: 2.5.29.37 Criticality=false\nExtendedKeyUsages [\n  serverAuth\n  clientAuth\n]\n\n[2]: ObjectId: 2.5.29.15 Criticality=true\nKeyUsage [\n  DigitalSignature\n  Non_repudiation\n  Key_Encipherment\n  Key_Agreement\n  Key_CertSign\n]\n\n[3]: ObjectId: 2.5.29.17 Criticality=false\nSubjectAlternativeName [\n  IPAddress: 100.110.3.35\n]\n\n[4]: ObjectId: 2.5.29.14 Criticality=false\nSubjectKeyIdentifier [\nKeyIdentifier [\n0000: D2 9A 06 D5 1F 13 45 D1   68 C3 EB 3C 08 26 DB 5C  ......E.h..<.&.\\\n0010: FE E5 92 00                                        ....\n]\n]\n\n]\n  Algorithm: [SHA256withRSA]\n  Signature:\n0000: 7F 27 56 8D 5F E5 98 59   1A 82 0B 43 BB 24 19 AA  .'V._..Y...C.$..\n0010: 8B A0 19 2E B2 12 63 6C   2B 2D B1 19 11 61 B4 58  ......cl+-...a.X\n0020: B7 10 91 F8 A5 60 54 98   0C D5 D9 88 2C 3F 53 C6  .....`T.....,?S.\n0030: 40 75 EC 49 CC 05 13 25   70 A2 43 55 67 86 D5 E7  @u.I...%p.CUg...\n0040: E6 60 50 CD 4F 1B 79 DB   9C 33 E1 BE 18 77 68 65  .`P.O.y..3...whe\n0050: FD 58 5B 6C BA 5C FA DB   4E 12 3B B4 1E 29 75 2A  .X[l.\\..N.;..)u*\n0060: 72 BD 4F DA 7D 99 3F 7B   D4 33 4C C8 10 EB 4E F2  r.O...?..3L...N.\n0070: 90 5A 57 BD 39 C3 D5 DA   DF 18 A2 6C 86 45 3E 0C  .ZW.9......l.E>.\n0080: 0A C7 E7 EF 88 16 E1 8F   DF 81 0D 92 45 9A 46 7A  ............E.Fz\n0090: 61 D3 0B A0 5E DA 7F F6   EF 35 5B E1 4F 91 D8 02  a...^....5[.O...\n00A0: 75 0A 99 52 5F 2F 24 A0   0C 7A 44 77 4E 4A F4 31  u..R_/$..zDwNJ.1\n00B0: D1 F9 35 BC BD A3 DF 08   71 16 AC 32 D4 F6 BF EE  ..5.....q..2....\n00C0: 9F B5 25 58 64 08 BA D5   79 3C B7 77 E4 25 9B 92  ..%Xd...y<.w.%..\n00D0: 51 A6 38 21 F6 09 BA B1   20 C8 E1 69 9E 04 44 B6  Q.8!.... ..i..D.\n00E0: 43 A3 A9 99 63 72 53 B1   F9 36 9F E5 35 5E F8 02  C...crS..6..5^..\n00F0: F1 F5 6B 16 40 FA F3 73   68 48 7E 47 97 B8 92 D4  ..k.@..shH.G....\n\n]"}

Ссылка для получения информации о сроках действия сертификата

Для naice-gavia:

https://<IP-адрес или доменное имя хоста для NAICE>:8080/actuator/prometheus

Для naice-lemmus:

https://<IP-адрес или доменное имя хоста для NAICE>:8083/actuator/prometheus

Для naice-castor:

https://<IP-адрес или доменное имя хоста для NAICE>:8095/actuator/prometheus


# HELP cert_valid_from The start date of the validity period in milliseconds
# TYPE cert_valid_from gauge
cert_valid_from{application="lemmus"} 1.771993917E12
# HELP cert_valid_to The end date of the validity period in milliseconds
# TYPE cert_valid_to gauge
cert_valid_to{application="lemmus"} 4.925593917E12
Полученные метрик cert_valid_from и cert_valid_to соответствуют датам начала и окончания действия сертификата в миллисекундах.


Для проверки дат можно использовать следующие команды в терминале:

          Конвертация значения в целое число:

printf "%9.0f\n" <значение cert_valid_from или значение cert_valid_to>


4925593917000

          Конвертация полученного целого числа в дату:

date -d@<полученное_целое_число>


Wed Nov 10 03:30:00 AM +07 158055

          В результате будет получена читаемая дата начала действия сертификата.