Red Hat Summit3.2. L'RHN SSL Maintenance Tool
Red Hat Network fournit un outil en ligne de commande pour faciliter la gestion de votre infrastructure sécurisée : l'RHN SSL Maintenance Tool, connu habituellement par sa commande
rhn-ssl-tool. Cet outil est disponible comme faisant partie du paquetage rhns-certs-tools. Ce paquetage se trouve dans les canaux logiciels pour le dernier RHN Proxy Server et le dernier RHN Satellite Server (ainsi que l'ISO du RHN Satellite Server). L'RHN SSL Maintenance Tool vous permet de générer votre propre paire de clés SSL CA, ainsi que les ensembles de clés SSL du serveur Web (parfois appelés paires de clés).
Cet outil est uniquement un outil de construction. Il génère toutes les clés et tous les certificats SSL qui sont requis. Il met également en paquetages les fichiers en format RPM pour une distribution et une installation rapides sur toutes les machines client. Par contre, il ne les déploie pas, l'administrateur doit le faire, ou dans de nombreux cas, cette opération est automatisée par le RHN Satellite Server.
Note
Le fichier
rhns-certs-tools, qui contient rhn-ssl-tool, peut être installé et exécuté sur tout système Red Hat Enterprise Linux courant avec des besoins minimums. Cette facilité est offerte aux administrateurs qui souhaitent gérer leur infrastructure SSL depuis leur poste de travail ou un autre système autre que leur(s) serveur(s) RHN.
Voici les cas où l'outil est requis :
- Lors de la mise à jour de votre certificat CA public, ce qui est rare.
- Lors de l'installation d'un RHN Proxy Server version 3.6 ou une version supérieure qui se connecte aux serveurs RHN centraux comme son service de plus haut niveau - le service hébergé, pour des raisons de sécurité, ne peut pas être un dépôt pour votre clé et votre certificat SSL CA, qui sont privés à votre organisation.
- Lors de la reconfiguration de votre infrastructure RHN pour utiliser SSL quand elle ne l'utilisait pas avant.
- Lors de l'ajout de RHN Proxy Server de versions inférieures à 3.6 dans votre infrastructure RHN.
- Lors de l'ajout de plusieurs RHN Satellite Server à votre infrastructure RHN - consultez un représentant de Red Hat pour obtenir des instructions à ce sujet.
Voici les cas où l'outil n'est pas requis :
- Durant l'installation d'un RHN Satellite Server - tous les paramètres SSL sont configurés durant l'installation. Les clés et le certificat SSL sont construits et déployés automatiquement.
- Durant l'installation d'un RHN Proxy Server version 3.6 ou une version supérieure si il est connecté à un RHN Satellite Server version 3.6 ou une version supérieure comme son plus haut niveau de service - le RHN Satellite Server contient toutes les informations SSL nécessaires pour configurer, construire et déployer les clés et certificats SSL du RHN Proxy Server.
Les procédures d'installation du RHN Satellite Server et du RHN Proxy Server assurent que le certificat SSL CA publique est déployé dans le répertoire
/pub de chaque serveur. Ce certificat public est utilisé par les systèmes client pour se connecter au serveur RHN. Consultez la Section 3.3, « Déploiement du certificat SSL CA public sur les clients » pour davantage d'informations.
En bref, si l'infrastructure RHN de votre organisation déploie la dernière version du RHN Satellite Server comme son plus haut niveau de service, vous n'aurez sûrement pas besoin d'utiliser l'outil. Sinon, familiarisez vous à son utilisation.
3.2.1. Génération de SSL expliquée
Copier lienLien copié sur presse-papiers!
Les avantages primaires de l'utilisation de l'RHN SSL Maintenance Tool sont les suivants : sécurité, flexibilité et portabilité. La sécurité est accomplie via la création de clés et de certificats SSL distincts du serveur Web pour chaque serveur RHN, tous signés par une seule paire de clés SSL CA créée par votre organisation. La flexibilité est fournie par la capacité de l'outil à fonctionner sur toute machine qui a le paquetage
rhns-certs-tools installé. La portabilité existe dans une structure de construction qui peut être stockée n'importe où en garde et qui peut ensuite être installée n'importe où le besoin se présente.
Une fois de plus, si le serveur RHN supérieur de votre infrastructure est le RHN Satellite Server le plus récent, il se peut que tout ce que vous aurez à faire est de restaurer votre arborescence
ssl-build d'une archive dans le répertoire /root/ et d'utiliser les outils de configuration fournis sur le site Web du RHN Satellite Server.
Pour utiliser l'RHN SSL Maintenance Tool à son maximum, exécutez les tâches suivantes de haut niveau dans l'ordre suivant. Reportez-vous aux sections restantes pour les informations requises :
- Installez le paquetage
rhns-certs-toolssur un système dans votre organisation, peut-être mais pas forcément le RHN Satellite Server ou le RHN Proxy Server. - Créez une seule paire de clés SSL CA pour votre organisation et installez le RPM ou le certificat public résultant sur tous les systèmes client.
- Créez un ensemble de clés SSL du serveur Web pour chaque Proxy et Satellite à déployer et installez les RPM résultants sur les serveurs RHN, en redémarrant le service
httpdplus tard :/sbin/service httpd restart
/sbin/service httpd restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Archivez l'arborescence de construction SSL - composée du répertoire de construction primaire et de tous les sous-répertoires et fichiers - sur un média amovible, comme une disquette. (Les besoins d'espace disque sont insignifiants.)
- Vérifiez puis stockez cette archive dans un endroit sécurisé, comme celui décrit pour les sauvegardes dans les sections Besoins supplémentaires du guide d'installation du Proxy ou du Satellite.
- Enregistrez et sécurisez le mot de passe CA pour une prochaine utilisation.
- Supprimez l'arborescence de construction depuis le système de construction pour des raisons de sécurité, mais uniquement lorsque l'entière infrastructure RHN est en place et configurée.
- Lorsque des ensembles de clés SSL du serveur Web sont nécessaires, restaurez l'arborescence de construction sur un système qui exécute l'RHN SSL Maintenance Tool et répétez les étapes 3 à 7.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}