Настройка SSL/TLS¶
В этом руководстве объясняется, как задать переменные среды для настройки соединений SSL / TLS между ПроAPI Защита и защищаемым приложением, а также для самого сервера ПроAPI Защита. Укажите эти переменные при запуске контейнера Docker ПроAPI Защита для [REST API] (../руководства по установке/docker-container.md) или [GraphQL API] (../руководства по установке/graphql/docker-container.md).
Безопасное соединение SSL/TLS между ПроAPI Защита и приложением¶
Чтобы установить безопасное соединение между ПроAPI Защита и сервером защищаемого приложения, использующим пользовательские сертификаты CA, используйте следующие переменные среды:
-
Подключите пользовательский сертификат CA к контейнеру ПроAPI Защита. Например, в вашем "docker-compose.yaml"внесите следующее изменение:
... volumes: - <HOST_PATH_TO_SPEC>:<CONTAINER_PATH_TO_SPEC> + - <HOST_PATH_TO_CA>:<CONTAINER_PATH_TO_CA> ...
1.Укажите путь к подключенному файлу, используя следующие переменные среды:
| Переменная среды | Описание |
|---|---|
APIFW_SERVER_ROOT_CA(только если значение APIFW_SERVER_INSECURE_CONNECTION равно false) | Путь внутри контейнера Docker к сертификату CA защищенного сервера приложений. |
Небезопасное соединение между ПроAPI Защита и приложением¶
Чтобы настроить небезопасное соединение (т.е. в обход проверки SSL / TLS) между ПроAPI Защита и сервером защищаемого приложения, используйте эту переменную среды:
| Переменная среды | Описание |
|---|---|
APIFW_SERVER_INSECURE_CONNECTION | Определяет, следует ли отключить проверку сертификата SSL/TLS защищенного сервера приложений. Адрес сервера обозначается в APIFW_SERVER_URL переменной. По умолчанию (false) система пытается установить безопасное соединение, используя либо сертификат CA по умолчанию, либо тот, который указан в APIFW_SERVER_ROOT_CA. |
SSL/TLS для сервера ПроAPI Защита¶
Чтобы убедиться, что сервер, на котором работает ПроAPI Защита, принимает соединения HTTPS, выполните следующие действия
-
Подключите каталог сертификата и закрытого ключа к контейнеру ПроAPI Защита. Например, в вашем
docker-compose.yamlфайле внесите следующие изменения:... volumes: - <HOST_PATH_TO_SPEC>:<CONTAINER_PATH_TO_SPEC> + - <HOST_PATH_TO_CERT_DIR>:<CONTAINER_PATH_TO_CERT_DIR> ... -
Укажите пути к смонтированным файлам, используя следующие переменные среды:
| Переменная среды | Описание |
|---|---|
APIFW_TLS_CERTS_PATH | Путь в контейнере к каталогу, в котором смонтированы сертификат и закрытый ключ для ПроAPI Защита. |
APIFW_TLS_CERT_FILE | Имя файла сертификата SSL/TLS для ПроAPI Защита, расположенного в директории APIFW_TLS_CERTS_PATH. |
APIFW_TLS_CERT_KEY | Имя файла закрытого ключа SSL/TLS для брандмауэра API, найденного в директории APIFW_TLS_CERTS_PATH. |