- Zalecamy użycie certyfikatu typu wildcard.
- Możesz mieć certyfikaty dla każdej subdomeny określonej powyżej.
- Obecnie wymagane jest posiadanie certyfikatu wildcard ssl dla ITSM-serwera *.company.local i tego samego certyfikatu lub konkretnego dla tigase xmpp.company.local.
- Jeżeli nie posiadasz prawdziwej domeny i zaufanego certyfikatu SSL, możesz samodzielnie wygenerować certyfikaty self-signed.
- Uwaga: Punkty końcowe nie mogą pracować z certyfikatem self-signed na tigase’ie. W tym przypadku nigdy nie otrzymasz zielonego statusu online na serwerze ITSM dla punktów końcowych, a także nie będzie działać zdalne sterowanie (remote control).
Dla minimalnej konfiguracji wymagane jest posiadanie zestawu certyfikatów i kluczy dla każdego serwera (ITSM, tigase).
Ustawienie certyfikatów SSL dla menedżera punktów końcowych (ITSM)
Umieścić ważny certyfikat ssl i klucz do /opt/itsm/web/certs pod nazwami cert.crt i cert.key.
Uwaga: Klucz prywatny musi być bez hasła, ponieważ serwer WWW nie może z nimi współpracować.
# stwórz katalog
sudo mkdir -p /opt/itsm/web/certs#skopiuj przygotowany certyfikat i klucz do miejsca przeznaczenia
cp /ścieżka/do/twojego/certificate.crt /opt/itsm/web/certs/cert.crt
cp /ścieżka/do/twojego/certificate.key /opt/itsm/web/certs/cert.key
Jeśli nie masz ważnych certyfikatów:
Możliwe jest wydanie samopodpisanej pary kluczy do certyfikatów.
Jednak w tym przypadku należy zezwolić na niezabezpieczony dostęp w przeglądarce, a niektóre funkcje zostaną usunięte/będą niedostępne.
Kolejne polecenia tworzą samopodpisane certyfikaty:
sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /opt/itsm/web/certs/cert.key -out /opt/itsm/web/certy/cert.crt
Uwaga: Domena certyfikatu CN (common name) powinna być taka sama jak wartość zmiennej ITSM_DOMAIN określonej w .env.
Ustawianie certyfikatów SSL dla TIGASE
Umieścić ważny certyfikat pem dla domeny określonej w TIGASE_DOMAIN w /opt/tigase/certs.
Nazwa pliku powinna znajdować się w następującym wzorcu {TIGASE_DOMAIN}.pem.
Uwaga:
- Nazwa certyfikatu powinna być dokładnie taka jak wartość TIGASE_DOMAIN podana w pliku .env. Na przykład, nad nazwą certyfikatu powinna znajdować się nazwa yourdomain.com.pem bez prefiksu “xmpp.”.
- Wiązka certyfikatów musi zawierać główny certyfikat CA. Do utworzenia ważnego certyfikatu należy połączyć private.key + certificate.crt + chain.crt + root.crt.
sudo mkdir -p /opt/tigase/certscat cert.key cert.crt chain.crt root.crt >
your.domain.pem sudo mv your.domain.pem /opt/tigase/certs/