Общее описание
Для обеспечения безопасного взаимодействия между администратором и системой NAICE реализована защита пользовательских интерфейсов: lemmus, gavia, larus, castor и sterna. HTTP-трафик полностью зашифрован с использованием протокола TLS, что предотвращает перехват данных и несанкционированный доступ.
Во время установки сервисов NAICE для пользовательских интерфейсов автоматически выполняется генерация двух самоподписанных сертификата, что позволяет обеспечить защищённое взаимодействие через HTTPS на основе параметров, указанных в конфигурации. Подробнее про установку сервисов NAICE здесь.
Генерируются различные сертификаты для двух групп сервисов:
- Административные сервисы:
- Gavia REST API Gateway - внешнее API для управления NAICE;
- Lemmus, Authorization Server - сервер авторизации для администраторов;
- Larus - WEB GUI для администратора;
- Портальные сервисы:
- Castor - API управления настройкой порталов и портальной авторизацией;
- Sterna - WEB GUI портала.
При наличии стороннего центра сертификации (ЦС) предусмотрена возможность заменить самоподписанные сертификаты на выпущенные сторонним ЦС.
Установка сертификата, выпущенного сторонним ЦС
Требования к сертификату
Сертификат должен соответствовать всем нижеуказанным требованиям для обеспечения корректной работы с сервисом NAICE:
- Файл сертификата должен иметь расширение .crt, .cer или .pem.
- Сертификат должен быть закодирован в формате BASE64. DER-кодировка не поддерживается.
- Файл приватного ключа должен иметь расширение .pem или .key.
- Ключ должен быть закодирован в формате BASE64 по стандарту PKCS #1 или PKCS #8.
- Ключ должен шифроваться алгоритмом AES или не иметь шифрования.
- В пароле приватного ключа не допускается использование символов: "$", " ' ", " " ", " ` ", скобок и пробела.
- Сертификат и приватный ключ должны предоставляться в отдельных файлах (Импорт контейнеров сертификатов не поддерживается).
- Работа с сертификатами, использующими ГОСТ шифрование, не поддерживается.
- Сертификат должен содержать атрибуты:
- Subject: CN;
- X509v3 Key Usage: Digital Signature, Key Encipherment (обязательно critical);
- X509v3 Extended Key Usage: TLS Web Server Authentication, TLS Web Client Authentication;
- X509v3 Subject Alternative Name: должен включать DNS-имя, соответствующее DNS имени сервера или IP Address, соответствующий адресу сервера;
- В случае, если NAICE используется в схеме резервирования с VRRP, атрибут X509v3 Subject Alternative Name должен включать VRRP-адрес NAICE;
- В случае, если NAICE используется в схеме резервирования без VRRP, атрибут X509v3 Subject Alternative Name должен включать DNS-имя или IP Address каждого сервера с NAICE.
- При использовании цепочек сертификатов, включающих сертификаты корневого ЦС и всех промежуточных, необходимо чтобы в первым сертификатов в цепочке был сертификат сервера.
Установка сертификатов
Установка сертификатов происходит в два этапа:
- загрузка сертификатов в Хранилище сертификатов;
- применение сертификатов.
Загрузка сертификатов в Хранилище сертификатов
Для того чтобы загрузить собственные сертификаты для пользовательских интерфейсов в NAICE перейдите на страницу Настройки системы → Хранилище сертификатов → Серверные сертификаты (для доступа необходимо наличие у системного пользователя привилегии на редактирование системных настроек). На странице содержится таблица, в которой уже есть записи с автоматически сгенерированными самоподписанными сертификатами DEFAULT_WEB_<hostname> и DEFAULT_PORTAL_<hostname>, которые используются в системе по умолчанию сразу после установки.
Для перехода в форму загрузки сертификата нажмите . В форме выберите тип сертификата - HTTPS.
Необходимо также заполнить остальные поля формы:
- Имя сертификата - произвольное имя сертификата длиной не более 200 символов;
- Сертификат - загрузить файл сертификата. Сертификат должен удовлетворять требованиям.
- Приватный ключ - загрузить файл приватного ключа сертификата. Приватный ключ должен удовлетворять требованиям.
- Пароль ключа - указать пароль приватного ключа (при его наличии).
После указания всех обязательных настроек нажмите кнопку Добавить. В момент загрузки произойдет первичная валидация сертификата - удовлетворение требованиям, соответствие ключа сертификату, проверка срока действия сертификата. Если всё в порядке, то сертификат будет загружен и в таблице серверных сертификатов появится новая запись:
При необходимости есть возможность посмотреть детальную информацию о сертификате, нажав на имя сертификата в таблице:
Процесс загрузка сертификатов для интерфейсов WEB и портала полностью аналогичен.
При установке в схеме с резервированием без VRRP может потребоваться использование различных сертификатов безопасности для разных узлов NAICE. В таком случае на этом этапе необходимо загрузить сертификаты для всех узлов.
Применение сертификатов для интерфейсов
На предыдущем шаге сертификаты были загружены в хранилище, теперь необходимо настроить их использование. Для этого необходимо перейти на страницу Настройки системы → Узлы. На данной странице находится список всех узлов NAICE, число которых будет отличаться в зависимости от схемы установки. Для каждого узла возможно конфигурирования узлозависимых настроек.
Чтобы перейти к настройкам требуется кликнуть на имя узла. Произойдет переход на форму настройки:
По умолчанию для узла выбраны сертификаты, автоматически сгенерированные при установке системы. Использование данных сертификатов небезопасно, так как они являются самоподписанными и всеми браузерами рассматриваются как недоверенные. Пользователю требуется дать явное согласие на переход на сайт с таким сертификатом.
Для замены сертификатов на загруженные ранее необходимо:
- для замены сертификата веб-интерфейса управления: в разделе "Веб-интерфейс управления" в списке Серверный сертификат выбрать необходимый сертификат.
- для замены сертификата веб-интерфейса портала: в разделе "Веб-интерфейс портала" в списке Серверный сертификат выбрать необходимый сертификат.
Настройка веб-интерфейса портала доступна только при наличии лицензии уровня ADVANCED и выше.
После выбора необходимых сертификатов нажать Сохранить.
Некорректная настройка сертификатов может привести к потере доступа к веб-интерфейсам.
После применения настроек интерфейс управления будет перезапущен. Для применения настроек в браузере у текущих системных пользователей автоматически обновится страница, сессии пользователей, при этом, не будут завершены.
В случае установки в схеме с резервированием вышеуказанные шаги следует повторить для каждого из узлов. Серверные сертификаты могут совпадать для разных узлов.
Просмотр параметров сертификата
Просмотр сертификатов через WEB GUI NAICE
Просмотр детальной информации о сертификате
Для просмотра серверных сертификатов необходимо перейти на страницу Настройки системы → Хранилище сертификатов → Серверные сертификаты (для доступа необходимо наличие у системного пользователя привилегии на чтение системных настроек).
При нажатии на имя сертификата в таблице открывается страница с детальной информацией о сертификате:
Отслеживание срока действия сертификатов
При приближении срока действия сертификатов к концу за 30 дней в веб-интерфейсе в таблице Настройки системы → Хранилище сертификатов → Серверные сертификаты рядом с именем сертификата начинает отображаться желтая иконка предупреждения:
После истечения срока действия сертификата иконка станет красной:
Также на странице Мониторинг → Система → Системные события будут отображаться системные события с аналогичными предупреждениями:
События будут дублироваться каждые сутки до момента удаления сертификата.
Получение метрик WEB GUI NAICE и WEB портала по параметрам SSL сертификатов
Посмотреть метрики / получить параметры nginx можно командой:
Для веб интерфейса NAICE:
echo | openssl s_client -showcerts -connect <IP-адрес или доменное имя>:443 2>&1 | openssl x509 -noout -dates
Для веб интерфейса портала NAICE:
echo | openssl s_client -showcerts -connect <IP-адрес или доменное имя>:8443 2>&1 | openssl x509 -noout -dates
Nginx реализует метод, возвращающий информацию о SSL-сертификате в виде JSON.
Метод возвращает следующую информацию о сертификате: кем выдан, дата начала действия, дата окончания действия.
Пример вывода:
notBefore=Feb 25 04:32:04 2026 GMT notAfter=Feb 1 04:32:04 2126 GMT
Получение метрик GAVIA, LEMMUS, CASTOR по параметрам SSL сертификатов
Ссылка для получения полной информации о сертификате
Для naice-gavia:
curl -k https://<IP-адрес или доменное имя хоста для NAICE>:8080/actuator/info
Для naice-lemmus:
curl -k https://<IP-адрес или доменное имя хоста для NAICE>:8083/actuator/info
Для naice-castor:
curl -k https://<IP-адрес или доменное имя хоста NAICE>:8095/actuator/info
Ссылка для получения информации о сроках действия сертификата
Для naice-gavia:
https://<IP-адрес или доменное имя хоста для NAICE>:8080/actuator/prometheus
Для naice-lemmus:
https://<IP-адрес или доменное имя хоста для NAICE>:8083/actuator/prometheus
Для naice-castor:
https://<IP-адрес или доменное имя хоста для NAICE>:8095/actuator/prometheus










