3.2. Red Hat Network SSL Maintenance Tool
Red Hat Network には、セキュアなインフラストラクチャーの管理を容易にするコマンドラインツール Red Hat Network SSL Maintenance Tool (そのコマンドの rhn-ssl-tool として一般に知られている) が用意されています。このツールは、
rhns-certs-toolsパッケージの一部として利用できます。このパッケージは、最新の RHN Proxy Server および RHN Satellite Server のソフトウェアチャネル (ならびに RHN Satellite Server ISO) 内にあります。Red Hat Network SSL Maintenance Tool を使用すると、専用の認証局 SSL キーペアおよび Web サーバー SSL キーセット (キーペア と呼ばれることもあります) を生成できます。
このツールはビルドツールにすぎません。必要なすべての SSL キーと証明書を生成します。また、すべてのクライアントマシンにすばやく配布およびインストールできるように、ファイルを RPM 形式でパッケージ化します。ただし、それらをデプロイすることはありません。その処理は管理者に委ねられるか、あるいは、多くの場合、RHN Satellite Server によって自動的に処理されます。
注記
rhn-ssl-tool が含まれる
rhns-certs-tools は、最小限の要件で現在の任意の Red Hat Enterprise Linux システムにインストールして実行できます。これは、ワークステーションまたは RHN Server 以外の別のシステムから SSL インフラストラクチャーを管理する管理者にとって便利なものです。
ツールが必要な場合は以下のとおりです。
- CA 公開証明書を更新する場合: これはまれなケースです。
- 最上位のサービス (ホスト型サービス) として中央の RHN Server に接続された RHN Proxy Server バージョン 3.6 以降をインストールする場合: セキュリティー上の理由から、これを CA の SSL キーおよび証明書のリポジトリーにすることはできません。これは、組織のみがアクセス可能とすべきものです。
- 以前は使用していなかった SSL を使用するように RHN インフラストラクチャーを再設定する場合。
- 3.6 より前のバージョンの RHN RHN Proxy Server を RHN インフラストラクチャーに追加する場合。
- 複数の RHN Satellite Server を RHN インフラストラクチャーに追加する場合: これに関する手順については、Red Hat の担当者にご相談ください。
ツールが 不要な場合 は以下のとおりです。
- RHN Satellite Server のインストール中: すべての SSL 設定は、インストールプロセス中に定義されます。SSL キーおよび証明書は、自動的にビルドおよびデプロイされます。
- 最上位のサービスとして RHN Satellite Server バージョン 3.6 以降に接続された RHN Proxy Server バージョン 3.6 以降をインストールする場合: RHN Satellite Server には、RHN Proxy Server の SSL キーおよび証明書の設定、ビルド、およびデプロイに必要なすべての SSL 情報が含まれています。
RHN Satellite Server と RHN Proxy Server 両方のインストール手順により、CA の SSL 公開証明書が各サーバーの
/pubディレクトリーにデプロイされるようになります。この公開証明書は、RHN Server に接続するのにクライアントシステムによって使用されます。詳細は、「クライアントへの CA SSL 公開証明書のデプロイ」を参照してください。
つまり、組織の RHN インフラストラクチャーに最上位のサービスとして最新バージョンの RHN Satellite Server をデプロイしている場合、ツールを使用する必要はほとんどありません。そうでない場合は、その使用法をよく理解してください。
3.2.1. SSL の生成について
Red Hat Network SSL Maintenance Tool を使用する主なメリットは、優れたセキュリティー、柔軟性、および移植性です。セキュリティーは、RHN サーバーごとに個別の Web サーバー SSL キーおよび証明書を作成することで達成されます。これらは、すべて組織によって作成された単一の認証局 SSL キーペアによって署名されます。柔軟性は、ツールが
rhns-certs-tools パッケージがインストールされた任意のマシンで動作できることで得られます。移植性は、どこにでも安全に保管でき、必要に応じてどこにでもインストールできるビルド構造により達成されます。
繰り返しになりますが、インフラストラクチャーの最上位の RHN Server が最新の RHN Satellite Server である場合、必要なのは、
ssl-build ツリーをアーカイブから /root ディレクトリーに復元し、RHN Satellite Server の Web サイト内で提供される設定ツールを利用することです。
Red Hat Network SSL Maintenance Tool を最大限に活用するには、以下に概要を示すタスクをほぼこの順序で実行します。詳細については、残りのセクションを参照してください。
- 組織内のシステムに
rhns-certs-toolsパッケージをインストールします。通常は RHN Satellite Server または RHN Proxy Server ですが、そうである必要はありません。 - 組織用に 1 つの認証局 SSL キーペアを作成し、得られる RPM または公開証明書をすべてのクライアントシステムにインストールします。
- デプロイする Proxy および Satellite ごとに Web サーバー SSL キーセットを作成し、得られる RPM を RHN Server にインストールし、後で
httpdサービスを再起動します。/sbin/service httpd restart - プライマリービルドディレクトリーおよびすべてのサブディレクトリーならびにファイルで構成される SSL ビルドツリー をフロッピーディスクなどのリムーバブルメディアにアーカイブします。(ディスク容量の要件は重要ではありません。)
- そのアーカイブを確認し、Proxy または Satellite どちらかのインストールガイドの Additional Requirements セクションでバックアップ用に説明するように、安全な場所に保管します。
- 今後の使用に備えて、CA パスワードを記録して安全な場所に保管します。
- セキュリティー確保のために、ビルドシステムからビルドツリーを削除します。ただし、RHN インフラストラクチャー全体がデプロイされ設定された後に限ります。
- 追加の Web サーバー SSL キーセットが必要な場合は、Red Hat Network SSL Maintenance Tool を実行しているシステム上にビルドツリーを復元し、ステップ 3 から 7 までを繰り返します。
