4.4. カスタム SSL 証明書を使用する Capsule Server のロードバランシング用の設定 (Puppet を使用する)

手順

1. Capsule Server で、すべてのソース証明書ファイルを含むディレクトリーを作成し、root ユーザーのみがアクセスできるようにします。

   # mkdir /root/capsule_cert
   # cd /root/capsule_cert

2. Certificate Signing Request (CSR) を署名する秘密鍵を作成します。

   秘密鍵は暗号化する必要がないことに注意してください。パスワードで保護された秘密鍵を使用する場合は、秘密鍵のパスワードを削除します。

   この Capsule Server の秘密鍵がすでにある場合は、この手順を省略します。

   # openssl genrsa -out /root/capsule_cert/capsule.pem 4096

3. 証明書要求設定ファイルを作成して、次の内容を追加します。

   [ req ]
   default_bits       = 4096
   distinguished_name = req_distinguished_name
   req_extensions     = req_ext
   prompt = no
   
   [ req_distinguished_name ]
   countryName=2 Letter Country Code
   stateOrProvinceName=State or Province Full Name
   localityName=Locality Name
   0.organizationName=Organization Name
   organizationalUnitName=Capsule Organization Unit Name
   commonName=capsule.example.com  

   1

   
   emailAddress=Email Address
   
   [ req_ext ]
   #authorityKeyIdentifier=keyid,issuer
   #basicConstraints=CA:FALSE
   keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
   subjectAltName = @alt_names
   
   [alt_names]                  

   2

   
   DNS.1 = loadbalancer.example.com
   DNS.2 = capsule.example.com

   1

   証明書の共通名は、Capsule Server の FQDN と一致する必要があります。各 Capsule Server でコマンドを実行するたびに、必ず変更します。ワイルドカードの値 * を設定することもできます。ワイルドカードの値を設定しており、katello-certs-check コマンドを使用する場合には、-t capsule オプションを追加する必要があります。

   2

   [alt_names] で、ロードバランサーの FQDN は DNS.1、Capsule Server の FQDN は DNS.2 として追加します。

4. SAN 証明書の証明書署名要求 (CSR) を作成します。

   # openssl req -new \
   -key /root/capsule_cert/capsule.pem \ 

   1

   
   -config SAN_config.cfg \          

   2

   
   -out /root/capsule_cert/capsule.pem   

   3

   1

   証明書を署名するために使用される Capsule Server の秘密鍵

   2

   証明書要求の設定ファイル

   3

   証明書署名要求ファイル

5. 証明書要求を認証局に送信します。

   要求を送信する場合は、証明書の有効期限を指定してください。証明書要求を送信する方法は異なるため、推奨の方法について認証局にお問い合わせください。要求への応答で、認証局バンドルと署名済み証明書を別々のファイルで受け取ることになります。

6. 認証局バンドル、認証局から受け取る Capsule Server の証明書ファイル、Capsule Server の秘密鍵を、Satellite Server にコピーし、検証します。

7. Satellite Server で、Capsule Server 証明書入力ファイルを検証します。

   # katello-certs-check \
   -c /root/capsule_cert/capsule.pem \      

   1

   
   -k /root/capsule_cert/capsule.pem \      

   2

   
   -b /root/capsule_cert/ca_cert_bundle.pem 

   3

   1

   認証局により提供された Capsule Server 証明書ファイル

   2

   証明書の署名に使用した Capsule Server の秘密鍵

   3

   認証局により提供された認証局バンドル

   commonName= をワイルドカードの値 * に設定する場合には、-t capsule オプションを katello-certs-check コマンドに追加する必要があります。

   katello-certs-check コマンドの出力である capsule-certs-generate コマンドの例をメモして、この Capsule Server の認証アーカイブファイルを作成します。

1. Puppet 証明書を生成して署名するための Capsule Server の設定
2. 残りの Capsule Server のロードバランシング用の設定

1. katello-certs-check コマンドの出力から取得する capsule-certs-generate コマンドに次のオプションを追加します。

   --foreman-proxy-cname loadbalancer.example.com

2. Satellite Server で、capsule-certs-generate コマンドを入力して Capsule 証明書を生成します。例を以下に示します。

   # capsule-certs-generate \
   --foreman-proxy-fqdn capsule-ca.example.com \
   --certs-tar /root/capsule_cert/capsule-ca.tar \
   --server-cert /root/capsule_cert/capsule-ca.pem \
   --server-key /root/capsule_cert/capsule-ca.pem \
   --server-ca-cert /root/capsule_cert/ca_cert_bundle.pem \
   --foreman-proxy-cname loadbalancer.example.com

   出力からの satellite-installer コマンド例のコピーを保持し、Capsule Server 証明書をインストールします。

3. 証明書アーカイブファイルを Satellite Server から Capsule Server にコピーします。

4. capsule-certs-generate コマンドの出力から取得する satellite-installer コマンドに次のオプションを追加します。

   --puppet-dns-alt-names "loadbalancer.example.com" \
   --puppet-ca-server "capsule-ca.example.com" \
   --foreman-proxy-puppetca "true" \
   --puppet-server-ca "true" \
   --enable-foreman-proxy-plugin-remote-execution-ssh

5. 以下のように、Capsule Server で、satellite-installer コマンドを実行します。

   satellite-installer --scenario capsule \
   --foreman-proxy-register-in-foreman "true" \
   --foreman-proxy-foreman-base-url "https://satellite.example.com" \
   --foreman-proxy-trusted-hosts "satellite.example.com" \
   --foreman-proxy-trusted-hosts "capsule-ca.example.com" \
   --foreman-proxy-oauth-consumer-key "oauth key" \
   --foreman-proxy-oauth-consumer-secret "oauth secret" \
   --certs-tar-file "certs.tgz" \
   --puppet-server-foreman-url "https://satellite.example.com" \
   --certs-cname "loadbalancer.example.com" \
   --puppet-dns-alt-names "loadbalancer.example.com" \
   --puppet-ca-server "capsule-ca.example.com" \
   --foreman-proxy-puppetca "true" \
   --puppet-server-ca "true" \
   --enable-foreman-proxy-plugin-remote-execution-ssh

6. Capsule Server で、ロードバランシングを設定する他のすべての Capsule に対して Puppet 証明書を生成します。ただし、Puppet 証明書署名を設定する最初のシステムを除きます。

   # puppet cert generate capsule.example.com \
   --dns_alt_names=loadbalancer.example.com

   このコマンドは、Puppet 証明書署名を行う Capsule Server インスタンスに次のファイルを作成します。

   • /etc/puppetlabs/puppet/ssl/certs/ca.pem
   • /etc/puppetlabs/puppet/ssl/certs/capsule.example.com.pem
   • /etc/puppetlabs/puppet/ssl/private_keys/capsule.example.com.pem
   • /etc/puppetlabs/puppet/ssl/public_keys/capsule.example.com.pem

1. katello-certs-check コマンドの出力から取得する capsule-certs-generate コマンドに次のオプションを追加します。

   --foreman-proxy-cname loadbalancer.example.com

2. Satellite Server で、capsule-certs-generate コマンドを入力して Capsule 証明書を生成します。例を以下に示します。

   # capsule-certs-generate \
   --foreman-proxy-fqdn capsule.example.com \
   --certs-tar /root/capsule_cert/capsule.tar \
   --server-cert /root/capsule_cert/capsule.pem \
   --server-key /root/capsule_cert/capsule.pem \
   --server-ca-cert /root/capsule_cert/ca_cert_bundle.pem \
   --foreman-proxy-cname loadbalancer.example.com

   出力からの satellite-installer コマンド例のコピーを保持し、Capsule Server 証明書をインストールします。

3. 証明書アーカイブファイルを Satellite Server から Capsule Server にコピーします。

   # scp /root/capsule.example.com-certs.tar \
   root@capsule.example.com:capsule.example.com-certs.tar

4. Capsule Server で、puppetserver パッケージをインストールします。

   # satellite-maintain packages install puppetserver

5. Capsule Server で、Puppet 証明書用のディレクトリーを作成します。

   # mkdir -p /etc/puppetlabs/puppet/ssl/certs/ \
   /etc/puppetlabs/puppet/ssl/private_keys/ \
   /etc/puppetlabs/puppet/ssl/public_keys/

6. Capsule Server で、Capsule Server を設定するシステムから、対象の Capsule Server の Puppet 証明書をコピーして、Puppet 証明書を署名します。

   # scp root@capsule-ca.example.com:/etc/puppetlabs/puppet/ssl/certs/ca.pem \
   /etc/puppetlabs/puppet/ssl/certs/ca.pem
   # scp root@capsule-ca.example.com:/etc/puppetlabs/puppet/ssl/certs/capsule.example.com.pem \
   /etc/puppetlabs/puppet/ssl/certs/capsule.example.com.pem
   # scp root@capsule-ca.example.com:/etc/puppetlabs/puppet/ssl/private_keys/capsule.example.com.pem \
   /etc/puppetlabs/puppet/ssl/private_keys/capsule.example.com.pem
   # scp root@capsule-ca.example.com:/etc/puppetlabs/puppet/ssl/public_keys/capsule.example.com.pem \
   /etc/puppetlabs/puppet/ssl/public_keys/capsule.example.com.pem

7. Capsule Server で、ディレクトリーの所有権をユーザー puppet、グループ puppet に変更し、SELinux コンテキストを設定します。

   # chown -R puppet:puppet /etc/puppetlabs/puppet/ssl/
   # restorecon -Rv /etc/puppetlabs/puppet/ssl/

8. capsule-certs-generate コマンドの出力から取得する satellite-installer コマンドに次のオプションを追加します。

   --certs-cname "loadbalancer.example.com" \
   --puppet-dns-alt-names "loadbalancer.example.com" \
   --puppet-ca-server "capsule-ca.example.com" \
   --foreman-proxy-puppetca "false" \
   --puppet-server-ca "false" \
   --enable-foreman-proxy-plugin-remote-execution-ssh

9. 以下のように、Capsule Server で、satellite-installer コマンドを実行します。

   # satellite-installer --scenario capsule \
   --foreman-proxy-register-in-foreman "true" \
   --foreman-proxy-foreman-base-url "https://satellite.example.com" \
   --foreman-proxy-trusted-hosts "satellite.example.com" \
   --foreman-proxy-trusted-hosts "capsule.example.com" \
   --foreman-proxy-oauth-consumer-key "oauth key" \
   --foreman-proxy-oauth-consumer-secret "oauth secret" \
   --certs-tar-file "capsule.example.com-certs.tar" \
   --puppet-server-foreman-url "https://satellite.example.com" \
   --certs-cname "loadbalancer.example.com" \
   --puppet-dns-alt-names "loadbalancer.example.com" \
   --puppet-ca-server "capsule-ca.example.com" \
   --foreman-proxy-puppetca "false" \
   --puppet-server-ca "false" \
   --enable-foreman-proxy-plugin-remote-execution-ssh