Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

4.11. カスタムの SSL 証明書を使用した Satellite Server の設定

デフォルトでは、Red Hat Satellite は自己署名の SSL 証明書を使用して、Satellite Server、外部の Capsule Server および全ホストの間で暗号化した通信ができるようにします。Satellite の自己署名証明書を使用できない場合には、外部の認証局 (CA) で署名した SSL 証明書を使用するように Satellite Server を設定できます。

カスタム SSL 証明書を使用して Red Hat Satellite を設定する場合は、次の要件を満たす必要があります。

  • SSL 証明書には、Privacy-Enhanced Mail (PEM) エンコードを使用する必要があります。
  • Satellite Server と Capsule Server の両方に同じ SSL 証明書を使用しないでください。
  • Satellite Server と Capsule Server の証明書には同じ CA が署名する必要があります。
  • SSL 証明書は CA 証明書であってはなりません。
  • SSL 証明書には、共通名 (CN) と一致するサブジェクト代替名 (SAN) エントリーが含まれている必要があります。
  • SSL 証明書は、鍵用途エクステンションを使用した鍵暗号化が許可されている必要があります。
  • SSL 証明書は、CN に短縮名を使用することはできません。
  • 秘密鍵にパスフレーズを設定しないでください。

カスタムの証明書で Satellite Server を設定するには、以下の手順を実行します。

  1. 「Satellite Server 用のカスタム SSL 証明書の作成」
  2. 「Satellite Server へのカスタム SSL 証明書のデプロイ」
  3. 「ホストへのカスタム SSL 証明書のデプロイ」
  4. Satellite Server に外部の Capsule Server を登録した場合には、カスタムの SSL 証明書を使用して設定します。詳細は、Capsule Server のインストールカスタム SSL 証明書を使用した Capsule Server の設定 を参照してください。

4.11.1. Satellite Server 用のカスタム SSL 証明書の作成
リンクのコピー

この手順を使用して、Satellite Server 用にカスタムの SSL 証明書を作成します。Satellite Server 用のカスタムの SSL 証明書がある場合にはこの手順は省略してください。

手順

  1. ソースの証明書ファイルすべてを保存するには、root ユーザーだけがアクセスできるディレクトリーを作成します。 

    # mkdir /root/satellite_cert
    Copy to Clipboard Toggle word wrap

  2. 証明書署名要求 (CSR) に署名する秘密鍵を作成します。

    秘密鍵は暗号化する必要がないことに注意してください。パスワードで保護された秘密鍵を使用する場合は、秘密鍵のパスワードを削除します。

    この Satellite Server の秘密鍵がすでにある場合は、この手順を省略します。 

    # openssl genrsa -out /root/satellite_cert/satellite_cert_key.pem 4096
    Copy to Clipboard Toggle word wrap

  3. CSR 用の /root/satellite_cert/openssl.cnf 設定ファイルを作成して、以下のコンテンツを追加します。 

    [ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name
prompt = no

[ req_distinguished_name ]
commonName = satellite.example.com

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = satellite.example.com
    Copy to Clipboard Toggle word wrap

    [ v3_req ] パラメーターとその目的の詳細は、RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile を参照してください。

  4. オプション: CSR に識別名 (DN) の詳細を追加する場合は、[ req_distinguished_name ] セクションに次の情報を追加します。 

    [req_distinguished_name]
CN = satellite.example.com
countryName =My_Country_Name
    1 
    
stateOrProvinceName = My_State_Or_Province_Name
    2 
    
localityName = My_Locality_Name
    3 
    
organizationName = My_Organization_Or_Company_Name
organizationalUnitName = My_Organizational_Unit_Name
    4
    Copy to Clipboard Toggle word wrap
    1
    2 文字コード
    2
    Full name
    3
    フルネーム (例: ニューヨーク)
    4
    証明書を担当する部門 (例:IT 部門)

  5. CSR を生成します。 

    # openssl req -new \
-key /root/satellite_cert/satellite_cert_key.pem \
    1 
    
-config /root/satellite_cert/openssl.cnf \
    2 
    
-out /root/satellite_cert/satellite_cert_csr.pem
    3
    Copy to Clipboard Toggle word wrap
    1
    秘密鍵へのパス
    2
    設定ファイルへのパス
    3
    生成する CSR へのパス

  6. 認証局 (CA) に証明書署名要求を送信します。Satellite Server と Capsule Server の証明書には同じ CA が署名する必要があります。

    要求を送信する場合は、証明書の有効期限を指定してください。証明書要求の送信方法にはさまざまなものがあるため、推奨される方法を CA にお問い合わせください。要求すると、CA バンドルと署名済み証明書を別々のファイルで受け取ることになります。

4.11.2. Satellite Server へのカスタム SSL 証明書のデプロイ
リンクのコピー

この手順を使用して、Satellite Server が、認証局で署名されたカスタムの SSL 署名書を使用するように設定します。

重要

SSL 証明書や .tar バンドルを /tmp/var/tmp ディレクトリーに保存しないでください。オペレーティングシステムは、これらのディレクトリーからファイルを定期的に削除します。その結果、機能の有効化または Satellite Server のアップグレード中に、satellite-installer の実行が失敗します。

手順

  • Satellite Server で証明書を更新します。 

    # satellite-installer \
--certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
    1 
    
--certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
    2 
    
--certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \
    3 
    
--certs-update-server --certs-update-server-ca
    Copy to Clipboard Toggle word wrap
    1
    認証局が署名した Satellite Server の証明書ファイルへのパス
    2
    Satellite Server 証明書の署名に使用された秘密鍵へのパス。
    3
    認証局バンドルへのパス

検証

  1. Satellite Server にネットワークでアクセスできるコンピューターで、この URL (https://satellite.example.com) に移動します。
  2. ブラウザーで、証明書の詳細を表示して、デプロイした証明書を確認します。

4.11.3. ホストへのカスタム SSL 証明書のデプロイ
リンクのコピー

カスタム SSL 証明書を使用するように Satellite を設定したら、Satellite に登録されているホストに証明書をデプロイする必要があります。

手順

  • 各ホストの SSL 証明書を更新します。 

    # dnf install http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm
    Copy to Clipboard Toggle word wrap
トップに戻る
Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2025 Red Hat