Механизм доверенных сертификатов позволяет загрузить в DDP корневые и промежуточные сертификаты (CA) или сертификаты серверов. Платформа использует их при проверке TLS/SSL при подключении к внешним сервисам по HTTPS — например, при обращении к API внешних сервисов в источниках данных, виджетах и т.д.
Это даёт возможность безопасно работать с сервисами, использующими самоподписанные или корпоративные сертификаты, без отключения проверки SSL.
Для Dex, PostgreSQL и Redis, используемых платформой в качестве служебных сервисов, сертификаты необходимо добавлять через конфигурацию модуля: соединение с этими компонентами устанавливается до включения механизма доверенных сертификатов.
Настройка доверенных сертификатов осуществляется в разделе «Администрирование» → «Доверенные сертификаты».
Конфигурация
При добавлении доверенного сертификата указываются следующие параметры:
| Параметр | Описание |
|---|---|
| Название | Отображаемое название сертификата в интерфейсе (например, «Корпоративный CA») |
| Сертификат (PEM) | Содержимое сертификата в формате PEM. Обязателен при создании. |
Сертификат задаётся в формате PEM, например:
-----BEGIN CERTIFICATE-----
MIIDXTCCAkWgAwIBAgIJAKL...
...
-----END CERTIFICATE-----После сохранения в карточке сертификата отображаются данные, извлечённые из PEM: субъект, издатель, срок действия, альтернативные имена и т.д.
При редактировании сертификата поле «Сертификат (PEM)» скрыто. Сохранённое значение не возвращается API из соображений безопасности. Чтобы обновить сертификат, создайте новую запись и, при необходимости, удалите старую.
Использование
Загруженные доверенные сертификаты автоматически добавляются в пул корневых сертификатов, используемый DDP Backend при исходящих HTTPS-запросах. Этот пул применяется при:
- обращении к внешним сервисам (действия, виджеты, источники данных, проверки статуса);
- запросах к API инфраструктурных систем (GitLab, Kubernetes, Vault, Prometheus и др.).
Таким образом, если внешний сервис использует сертификат, выпущенный вашим или корпоративным CA, достаточно добавить соответствующий корневой или промежуточный сертификат в раздел «Доверенные сертификаты» — после этого платформа будет доверять таким соединениям без отключения проверки SSL.
Вместо отключения проверки SSL во внешнем сервисе (опция «Отключить проверку SSL») рекомендуется добавлять нужные сертификаты в доверенные — это сохраняет проверку подлинности и защиту соединения.
Изменения списка доверенных сертификатов (добавление, изменение, удаление) применяются к новым исходящим соединениям без перезапуска DDP.
Права доступа
Управление доверенными сертификатами регулируется глобальными разрешениями:
read:trusted-certificates— просмотр списка и сведений о сертификатах;create:trusted-certificates— добавление сертификатов;update:trusted-certificates— редактирование названия существующего сертификата;delete:trusted-certificates— удаление сертификатов.
Подробнее о ролевой модели в документации по RBAC.