Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Истории успеха
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • AI Studio
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Истории успеха
  • Документация
  • Блог
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»
Yandex Certificate Manager
  • Начало работы
    • Все инструкции
      • Добавление сертификата
      • Получение содержимого сертификата
      • Обновление сертификата
      • Изменение сертификата
      • Удаление сертификата
    • Резервное копирование
    • Добавление алерта для сертификата
    • Настроить права доступа к сертификату
    • Посмотреть операции с сертификатом
  • Управление доступом
  • Правила тарификации
  • Справочник Terraform
  • Метрики Monitoring
  • Аудитные логи Audit Trails
  • История изменений
  • Вопросы и ответы
  • Обучающие курсы

В этой статье:

  • Создание файла самоподписанного сертификата
  • Добавление пользовательского самоподписанного сертификата
  • Хранение приватного ключа сертификата в Yandex Lockbox
  1. Пошаговые инструкции
  2. Пользовательский сертификат
  3. Добавление сертификата

Добавить пользовательский сертификат

Статья создана
Yandex Cloud
Улучшена
mmerihsesh
Обновлена 21 апреля 2025 г.
  • Создание файла самоподписанного сертификата
  • Добавление пользовательского самоподписанного сертификата
  • Хранение приватного ключа сертификата в Yandex Lockbox

Добавление пользовательского сертификата рассмотрим на примере самоподписанного сертификата. Требования к пользовательскому сертификату приведены на странице Пользовательский сертификат.

Создание файла самоподписанного сертификатаСоздание файла самоподписанного сертификата

Чтобы создать самоподписанный сертификат с использованием библиотеки OpenSSL, выполните команду:

Bash
PowerShell
openssl req -x509 -newkey rsa:4096 -nodes \
  -keyout key.pem \
  -out cert.pem \
  -days 365 \
  -subj '/CN=example.com'
openssl req -x509 -newkey rsa:4096 -nodes `
  -keyout key.pem `
  -out cert.pem `
  -days 365 `
  -subj '/CN=example.com'

Где:

  • -x509 — результатом работы команды будет файл сертификата.
  • -newkey — будет создан новый файл приватного ключа.
  • rsa:4096 — алгоритм и длина ключа.
  • -nodes — не шифровать файл приватного ключа.
  • -keyout — имя файла, в котором будет сохранен приватный ключ.
  • -out — имя файла сертификата.
  • -days — срок действия сертификата.
  • -subj — значение Common Name владельца сертификата.

Запущенная с указанными параметрами команда req выпустит самоподписанный сертификат, для которого она также сгенерирует приватный ключ.

Добавление пользовательского самоподписанного сертификатаДобавление пользовательского самоподписанного сертификата

Чтобы добавить пользовательский сертификат в Certificate Manager:

Консоль управления
CLI
Terraform
API
  1. В консоли управления выберите каталог, в который будет добавлен пользовательский сертификат.
  2. В списке сервисов выберите Certificate Manager.
  3. Нажмите кнопку Добавить сертификат.
  4. В открывшемся меню выберите Пользовательский сертификат.
  5. В открывшемся окне в поле Имя введите имя пользовательского сертификата.
  6. (Опционально) В поле Описание введите описание пользовательского сертификата.
  7. В поле Сертификат нажмите кнопку Добавить сертификат.
    1. Выберите способ добавления Файл.
    2. Нажмите кнопку Прикрепить файл.
      1. В открывшемся окне выберите файл самоподписанного сертификатаcert.pem.
    3. Нажмите кнопку Добавить.
  8. В поле Приватный ключ нажмите кнопку Добавить приватный ключ.
    1. Выберите способ добавления Файл.
    2. Нажмите кнопку Прикрепить файл.
      1. В открывшемся окне выберите файл приватного ключа key.pem.
    3. Нажмите кнопку Добавить.
  9. Нажмите кнопку Создать.

Если у вас еще нет интерфейса командной строки Yandex Cloud (CLI), установите и инициализируйте его.

По умолчанию используется каталог, указанный при создании профиля CLI. Чтобы изменить каталог по умолчанию, используйте команду yc config set folder-id <идентификатор_каталога>. Также для любой команды вы можете указать другой каталог с помощью параметров --folder-name или --folder-id.

  1. Посмотрите описание команды:

    yc certificate-manager certificate create --help
    
  2. Выполните команду:

    yc certificate-manager certificate create \
      --name mycert \
      --chain mycert.pem \
      --key mykey.pem
    

    Где:

    • --name — имя сертификата.
    • --chain — путь к файлу цепочки сертификатов.
    • --key — путь к файлу приватного ключа сертификата.

    Результат:

    id: fpqmg47avvim********
    folder_id: b1g7gvsi89m3********
    created_at: "2020-09-15T06:54:44.916325Z"
    ...
    issued_at: "2020-09-15T06:54:44.916325Z"
    not_after: "2021-09-15T06:48:26Z"
    not_before: "2020-09-15T06:48:26Z"
    

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    resource "yandex_cm_certificate" "user-certificate" {
      name    = "<имя_сертификата>"
    
      self_managed {
        certificate = <<-EOT
                      -----BEGIN CERTIFICATE-----
                      <содержимое_сертификата>
                      -----END CERTIFICATE-----
                      EOT
        private_key = <<-EOT
                      -----BEGIN PRIVATE KEY-----
                      <содержимое_приватного_ключа_сертификата>
                      -----END PRIVATE KEY-----
                      EOT
      }
    }
    

    Где:

    • name — имя сертификата.
    • certificate — содержимое файла с сертификатом.
    • private_key — содержимое файла с приватным ключом.

    Более подробную информацию о параметрах ресурса yandex_cm_certificate в Terraform, см. в документации провайдера.

  2. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      
    3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply
      
    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

После этого в указанный каталог будет добавлен сертификат. Проверить появление сертификата и его настройки можно в консоли управления или с помощью команды CLI:

 yc certificate-manager certificate get <имя_сертификата>

Чтобы добавить сертификат, воспользуйтесь методом REST API create для ресурса Certificate или вызовом gRPC API CertificateService/Create.

В списке сертификатов появится новый сертификат со статусом Issued.

Хранение приватного ключа сертификата в Yandex LockboxХранение приватного ключа сертификата в Yandex Lockbox

Чтобы не хранить приватный ключ пользовательского сертификата в открытом виде в конфигурационном файле Terraform, запишите его в Yandex Lockbox:

Terraform

Если у вас еще нет Terraform, установите его и настройте провайдер Yandex Cloud.

  1. Создайте секрет и запишите в него приватный ключ.

  2. Опишите в конфигурационном файле параметры ресурсов, которые необходимо создать:

    resource "yandex_cm_certificate" "example-lockbox" {
      name = "<имя_секрета>"
    
      self_managed {
        certificate = <<-EOT
                      -----BEGIN CERTIFICATE-----
                      <содержимое_сертификата>
                      -----END CERTIFICATE-----
                      EOT
        private_key_lockbox_secret {
          id  = "<идентификатор_секрета>"
          key = "<ключ_секрета>"
        }
      }
    }
    

    Где:

    • name — имя секрета Yandex Lockbox.
    • certificate — содержимое файла с сертификатом.
    • id — идентификатор секрета Yandex Lockbox, в котором находится приватный ключ.
    • key — ключ секрета Yandex Lockbox, в котором находится приватный ключ.

    Более подробную информацию о параметрах ресурса yandex_cm_certificate см. в документации провайдера.

  3. Создайте ресурсы:

    1. В терминале перейдите в папку, где вы отредактировали конфигурационный файл.

    2. Проверьте корректность конфигурационного файла с помощью команды:

      terraform validate
      

      Если конфигурация является корректной, появится сообщение:

      Success! The configuration is valid.
      
    3. Выполните команду:

      terraform plan
      

      В терминале будет выведен список ресурсов с параметрами. На этом этапе изменения не будут внесены. Если в конфигурации есть ошибки, Terraform на них укажет.

    4. Примените изменения конфигурации:

      terraform apply
      
    5. Подтвердите изменения: введите в терминале слово yes и нажмите Enter.

После этого в указанный каталог будет добавлен сертификат. Проверить появление сертификата и его настройки можно в консоли управления или с помощью команды CLI:

yc certificate-manager certificate get <имя_сертификата>

В списке сертификатов появится новый сертификат со статусом Issued.

Была ли статья полезна?

Предыдущая
Удаление сертификата
Следующая
Получение содержимого сертификата
Проект Яндекса
© 2025 ТОО «Облачные Сервисы Казахстан»