3.2.4. Web サーバーの SSL キーセットの生成
CA の SSL キーペアをすでに生成している必要がありますが、特に複数の Proxy または Satellite がデプロイされている場合は、Web サーバーの SSL キーセットをより頻繁に生成する可能性があります。
--set-hostname の値は、サーバーごとに異なることに注意してください。つまり、個別の RHN サーバーのホスト名ごとに、SSL キーと証明書の個別のセットを生成してインストールする必要があります。
サーバー証明書のビルドプロセスは、CA SSL キーペアの生成とほとんど同じように行われますが、1 つの例外があります。すべてのサーバーコンポーネントは、最終的にビルドシステムのマシン名を反映したビルドディレクトリーのサブディレクトリーに配置されます (例:
/root/ssl-build/MACHINE_NAME)。サーバー証明書を生成するには、以下のようなコマンドを実行します。
rhn-ssl-tool --gen-server --password=MY_CA_PASSWORD --dir="/root/ssl-build" \ --set-state="North Carolina" --set-city="Raleigh" --set-org="Example Inc." \ --set-org-unit="IS/IT" --set-email="admin@example.com" \ --set-hostname="rhnbox1.example.com
例の値を実際の組織に該当する値に置き換えます。コマンドの実行により、ビルドディレクトリーのマシン固有のサブディレクトリーに以下の関連ファイルが作成されます。
server.key: Web サーバーの SSL 秘密サーバーキーserver.csr: Web サーバーの SSL 証明書要求server.crt: Web サーバーの SSL 公開証明書rhn-org-httpd-ssl-key-pair-MACHINE_NAME-VER-REL.noarch.rpm: RHN Server への配布用に準備された RPM。関連する src.rpm ファイルも生成されます。この RPM には、上記の 3 つのファイルが含まれています。それらが以下の場所にインストールされます。/etc/httpd/conf/ssl.key/server.key/etc/httpd/conf/ssl.csr/server.csr/etc/httpd/conf/ssl.crt/server.crt
- rhn-server-openssl.cnf: Web サーバーの SSL 設定ファイル
latest.txt: 常に関連するファイルの最新バージョンのリストが含まれます。
この手順が完了すると、RPM をそれぞれの RHN Server に配布してインストールする準備が整います。インストール後に
httpd サービスを再起動する必要があることに注意してください。
/sbin/service httpd restart 