Типы поддерживаемых сертификатов#

Платформа Astra Automation поддерживает три модели использования сертификатов TLS. Они отличаются источником доверия и областью применения. Сертификат TLS подтверждает подлинность сервера, к которому подключается клиент, и помогает согласовать параметры шифрования.

Сертификаты публичного удостоверяющего центра (Public CA)#

Публичный удостоверяющий центр выпускает сертификаты, которым уже доверяют операционные системы, браузеры и большинство клиентских приложений.

Примеры таких удостоверяющих центров: Let’s Encrypt, DigiCert, GlobalSign.

При использовании такого сертификата клиент автоматически доверяет серверу, поскольку операционная система или приложение уже доверяет удостоверяющему центру.

Этот вариант рекомендуется использовать:

  • для производственной эксплуатации;

  • для систем с публичным доступом;

  • для систем, к которым подключаются внешние пользователи или внешние сервисы.

Преимущества:

  • не требуется дополнительная настройка доверия на клиентских системах;

  • обеспечивается совместимость с большинством клиентов;

  • отсутствуют предупреждения безопасности при обращении к платформе по HTTPS.

Сертификаты корпоративного удостоверяющего центра (Corporate CA)#

Внутренний удостоверяющий центр организации выпускает такие сертификаты для корпоративной инфраструктуры доверия. В этом случае организация самостоятельно управляет выпуском сертификатов, сроками их действия и политиками безопасности.

Так как корпоративный удостоверяющий центр не является публичным, клиентские системы должны явно доверять ему. Для этого администратор устанавливает корневой сертификат удостоверяющего центра в доверенное хранилище операционной системы или приложения.

Этот вариант рекомендуется использовать:

  • для внутренних корпоративных систем;

  • для закрытых инфраструктур;

  • при наличии собственной инфраструктуры PKI.

Преимущества:

  • полный контроль над инфраструктурой сертификатов;

  • отсутствие зависимости от внешних удостоверяющих центров;

  • соответствие корпоративным политикам безопасности.

Сертификаты собственного удостоверяющего центра (Self-signed CA)#

В этом сценарии администратор создает удостоверяющий центр вручную или утилита развертывания платформы Astra Automation создает его автоматически. Такой удостоверяющий центр выпускает серверные сертификаты компонентов платформы.

Такой удостоверяющий центр не является публичным, поэтому клиентские системы должны явно доверять ему.

Используйте этот вариант для тестирования, разработки, лабораторных и изолированных сред. В производственной эксплуатации рекомендуется использовать сертификаты публичного или корпоративного удостоверяющего центра.

Примечание

С технической точки зрения этот вариант аналогичен использованию корпоративного CA, однако отличается областью применения и моделью управления доверием.