Включение SSL для web-интерфейса сервера
Использование бесплатных сертификатов Let's Encrypt
В данном примере файлы сертификатов расположены в папке ssl каталога установки, но могут быть расположены в любом другом месте. Опция редиректа обеспечивает автоматическое переключение браузера на https-соединение при подключении к серверу по http. После включения SSL на сервере, не забудьте включить SSL на шлюзах, работающих с данным сервером.
Подключитесь к серверу с помощью SSH-клиента
Перейдите в каталог установки
cd /pult_server
Откройте конфиг сервера
nano services/server/config.cfg
Задайте порт HTTPS и включите редирект
...
port_https=443
redirect_to_https=1
...
При необходимости измените путь к файлам сертификатов и набор шифров
...
ssl_key_file=../../ssl/key.pem
ssl_cert_file=../../ssl/cert.pem
ssl_chain_file=../../ssl/chain.pem
ssl_ciphers=ALL:!ADH:!EXP:!LOW:!RC2:!3DES:!SEED:!RC4:+HIGH:+MEDIUM
ssl_protocols=TSSLv2,SSLv3,TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
...
Сохраните конфиг (Ctrl-O) и закройте редактор (Ctrl-X). После сохранения конфига сервис server автоматически перезапустся и применит новые настройки.
Бесплатные сертификаты Let's Encrypt выдаются сроком на 3 месяца. Для автоматического продления используется сервис letsssl. Letsssl будет автоматически проверять необходимость продления сертификата и выполнять его продление в случае такой необходимости с помощью утилиты CertBot.
Установите CertBot (команда указана для CentOS, для других ОС см. https://certbot.eff.org)
sudo yum install certbot
Откройте конфиг сервиса letsssl
nano services/letsssl/config.cfg
Включите сервис letsssl и укажите доменное имя сервера
enabled=1
domain_name=your.domain.name
...
Сохраните конфиг (Ctrl-O) и закройте редактор (Ctrl-X).
После сохранения конфига сервис letsssl автоматически перезапустся, применит новые настройки и с помощью утилиты Certbot выполнит команду на регистрацию доменного имени в базе Let's Encrypt и получение сертификата.
Файлы сертификатов будут скопированы в папку назначения (например /pult_server/ssl). В течение 10 секунд сервер применит новые сертификаты и веб-интерфейс системы станет доступен по HTTPS. Обновление сертификатов будет производится автоматически раз в три месяца.