ホーム
製品
Red Hat Satellite
6.4
オンラインネットワークからの Satellite Server のインストール
3.8. カスタムサーバー証明書を使用した Satellite Server の設定

3.8. カスタムサーバー証明書を使用した Satellite Server の設定

SSL 証明書は、情報を保護し、安全な通信を可能にするために使用されます。Red Hat Satellite 6 は、Satellite Server、外部の Capsule Server、およびすべてのホスト間の暗号化された通信を可能にするために、自己署名 SSL 証明書を作成します。これらの自己署名証明書を使用する代わりに、外部の信頼できる企業である認証局によって発行されたカスタム SSL 証明書をインストールできます。たとえば、SSL 証明書は認証局から取得する必要があるというセキュリティーポリシーが会社にあるとします。証明書を取得するには、証明書署名要求を作成し、認証局に送信します。「Satellite Server 向けの SSL 証明書の取得」。代わりに、署名された SSL 証明書を受け取ります。

Satellite サーバーでカスタム証明書を使用するには、これらの手順を完了します。

「Satellite Server 向けの SSL 証明書の取得」
「Satellite Server の SSL 証明書の検証」
「カスタム証明書パラメーターを使用した Satellite インストーラーの実行」
「Satellite Server に接続されたすべてのホストへの新しい証明書のインストール」
Satellite Server に外部の Capsule Server が登録されている場合は、Capsule Server のインストールガイドのカスタムサーバー証明書を使用した Capsule Server の 設定に進み、カスタム証明書を使用するように Capsule Server を設定します。

3.8.1. Satellite Server 向けの SSL 証明書の取得
リンクのコピー

Satellite Server 向けのカスタム SSL 証明書がすでにある場合は、この手順を省略します。

重要

SSL 証明書には、PEM エンコードを使用してください。

手順

Satellite Server のカスタム SSL 証明書を取得するには、次の手順を実行します。

すべてのソース証明書ファイルを保存するディレクトリーを作成します。このディレクトリーは root ユーザーのみがアクセスできます (例 :/root/sat_cert)。
```
mkdir /root/sat_cert
```
```
# mkdir /root/sat_cert
```
Copy to Clipboard Toggle word wrap
Certificate Signing Request (CSR) を署名する秘密鍵を作成します。
注記
Satellite Server 向けの秘密鍵がすでにある場合は、この手順を省略します。
```
openssl genrsa -out /root/sat_cert/satellite_cert_key.pem 4096
```
```
# openssl genrsa -out /root/sat_cert/satellite_cert_key.pem 4096
```
Copy to Clipboard Toggle word wrap

証明書署名要求 (CSR) の /root/sat_cert/openssl.cnf 設定ファイルを作成し、次のコンテンツを含めます。[ req_distinguished_name ] セクションに、貴社の組織の情報を入力します。

注記

証明書のコモンネーム (CN) とサブジェクト代替名 (SAN) DNS.1 は、証明書が使用されるサーバーの完全修飾ドメイン名 (FQDN) と一致する必要があります。Satellite Server の証明書を要求している場合、これは Satellite Server の FQDN です。Capsule Server の証明書をリクエストしている場合、これは Capsule Server の FQDN になります。

サーバーの FQDN を確認するには、そのサーバー上で次のコマンドを入力します: hostname -f。

[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name
x509_extensions = usr_cert
prompt = no

[ req_distinguished_name ]
C  = Country Name (2 letter code)
ST = State or Province Name (full name)
L  = Locality Name (eg, city)
O  = Organization Name (eg, company)
OU = The division of your organization handling the certificate
CN = satellite.example.com

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
subjectAltName = @alt_names

[ usr_cert ]
basicConstraints=CA:FALSE
nsCertType = client, server, email
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

[ alt_names ]
DNS.1 = satellite.example.com

[ req ]
req_extensions = v3_req
distinguished_name = req_distinguished_name
x509_extensions = usr_cert
prompt = no

[ req_distinguished_name ]
C  = Country Name (2 letter code)
ST = State or Province Name (full name)
L  = Locality Name (eg, city)
O  = Organization Name (eg, company)
OU = The division of your organization handling the certificate
CN = satellite.example.com

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
subjectAltName = @alt_names

[ usr_cert ]
basicConstraints=CA:FALSE
nsCertType = client, server, email
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
nsComment = "OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

[ alt_names ]
DNS.1 = satellite.example.com

Copy to Clipboard

Toggle word wrap

証明書署名要求 (CSR) を作成します。

openssl req -new \
-key /root/sat_cert/satellite_cert_key.pem \
-out /root/sat_cert/satellite_cert_csr.pem \
-config /root/sat_cert/openssl.cnf

# openssl req -new \
-key /root/sat_cert/satellite_cert_key.pem \
-out /root/sat_cert/satellite_cert_csr.pem \
-config /root/sat_cert/openssl.cnf

Copy to Clipboard

Toggle word wrap

証明局に証明書署名要求を送信します。Satellite Server と Capsule Server の証明書には同じ認証局が署名する必要があります。
要求を送信する場合は、証明書の有効期限を指定してください。証明書要求を送信する方法は異なるため、推奨される方法について認証局にお問い合わせください。リクエストに応じて、認証局バンドルと署名された証明書が別々のファイルで受信されることが予想されます。

3.8.2. Satellite Server の SSL 証明書の検証
リンクのコピー

次の例に従って、必要なパラメーターを指定して katello-certs-check コマンドを入力します。これにより、カスタム証明書に必要な入力ファイルが検証され、Satellite Server、すべての Capsule Server、および Satellite で管理されているホストに証明書をインストールするために必要なコマンドが出力されます。

カスタムの SSL 証明書入力ファイルを検証します。ファイルに合わせてファイル名を変更します。katello-certs-check コマンドが正しく機能するには、証明書のコモンネーム (CN) が Satellite Server の FQDN と一致している必要があることに注意してください。
```
katello-certs-check \
   -c /root/sat_cert/satellite_cert.pem \
   -k /root/sat_cert/satellite_cert_key.pem \
   -b /root/sat_cert/ca_cert_bundle.pem
```
```
# katello-certs-check \
   -c /root/sat_cert/satellite_cert.pem \      
```
1
```
   -k /root/sat_cert/satellite_cert_key.pem \  
```
2
```
   -b /root/sat_cert/ca_cert_bundle.pem        
```
3
Copy to Clipboard Toggle word wrap
1
認証局により署名された Satellite Server 向けの証明書ファイル
2
証明書を署名するために使用する Satellite Server の秘密鍵
3
認証局バンドル

3.8.3. カスタム証明書パラメーターを使用した Satellite インストーラーの実行
リンクのコピー

この時点で SSL 証明書が作成され、Red Hat Satellite 6 で使用できることが確認されました。次の手順は、カスタム SSL 証明書を Satellite Server とそのすべてのホストにインストールすることです。

この手順は、Satellite Server がすでにインストールされているかどうかに応じて若干異なります。すでにインストールされている場合は、既存の証明書を証明書アーカイブ内の証明書に 更新する 必要があります。

このセクションのコマンドは 、katello-certs-check コマンドによって出力されます。詳細は、「Satellite Server の SSL 証明書の検証」、ターミナルにコピーして貼り付けることができます。

状況に応じて、satellite-installer コマンドを入力します。
1. Satellite がすでにインストールされている場合は、Satellite サーバーで以下のコマンドを実行します。
  # satellite-installer --scenario satellite \ --certs-server-cert /root/sat_cert/satellite_cert.pem \ --certs-server-key /root/sat_cert/satellite_cert_key.pem \ --certs-server-ca-cert /root/sat_cert/ca_cert_bundle.pem \ --certs-update-server --certs-update-server-ca
  Copy to Clipboard Toggle word wrap
  このコマンドの重要なパラメーターには、サーバーの SSL 証明書と認証局を更新することを指定する --certs-update-server と --certs-update-server-ca が含まれます。インストーラーのすべてのパラメーターの簡単な説明については、コマンド satellite-installer --scenario satellite --help を入力してください。
  注記
  satellite-installer コマンド内のすべてのファイルには、相対パス名ではなく、完全パス名を使用します。インストーラーはすべてのファイルのパスと名前を記録するため、別のディレクトリーからインストーラーを再度実行すると、元のファイルが見つからないため失敗する可能性があります。
2. Satellite がまだインストールされて いない 場合は、Satellite サーバーで次のコマンドを入力します。
  # satellite-installer --scenario satellite \ --certs-server-cert /root/sat_cert/satellite_cert.pem \ --certs-server-key /root/sat_cert/satellite_cert_key.pem \ --certs-server-ca-cert /root/sat_cert/ca_cert_bundle.pem
  Copy to Clipboard Toggle word wrap
  注記
  satellite-installer コマンド内のすべてのファイルには、相対パス名ではなく、完全パス名を使用します。インストーラーはすべてのファイルのパスと名前を記録するため、別のディレクトリーからインストーラーを再度実行すると、元のファイルが見つからないため失敗する可能性があります。
証明書をホストにインストールする前に、証明書が Satellite Server に正常にインストールされていることを確認します。Satellite Server へのネットワークアクセス権を持つコンピューターで Web ブラウザーを起動し、URL https://satellite.example.com に移動して証明書の詳細を表示します。

3.8.4. Satellite Server に接続されたすべてのホストへの新しい証明書のインストール
リンクのコピー

カスタム SSL 証明書が Satellite Server にインストールされたので、Satellite Server に登録されているすべてのホストにもインストールする必要があります。

BZ#1683835 が解決されるまで、katello-ca-consumer パッケージをアップグレードすることはできません。古いパッケージを削除して、新しいパッケージをインストールする必要があります。katello-ca-consumer パッケージのアップグレードは、rhsm.conf の baseurl 設定が subscription.rhsm.redhat.com に戻されるため失敗します。

手順

該当するすべてのホストで次のコマンドを入力します。

ホスト上の現在の katello-ca-consumer パッケージを削除します。
```
yum remove 'katello-ca-consumer*'
```
```
# yum remove 'katello-ca-consumer*'
```
Copy to Clipboard Toggle word wrap

ホストにカスタム SSL 証明書をインストールします。

yum localinstall http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm

# yum localinstall http://satellite.example.com/pub/katello-ca-consumer-latest.noarch.rpm

Copy to Clipboard

Toggle word wrap

トップに戻る

3.8. カスタムサーバー証明書を使用した Satellite Server の設定

3.8.1. Satellite Server 向けの SSL 証明書の取得
リンクのコピー

3.8.2. Satellite Server の SSL 証明書の検証
リンクのコピー

3.8.3. カスタム証明書パラメーターを使用した Satellite インストーラーの実行
リンクのコピー

3.8.4. Satellite Server に接続されたすべてのホストへの新しい証明書のインストール
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.8. カスタムサーバー証明書を使用した Satellite Server の設定

3.8.1. Satellite Server 向けの SSL 証明書の取得リンクのコピーリンクがクリップボードにコピーされました!

3.8.2. Satellite Server の SSL 証明書の検証リンクのコピーリンクがクリップボードにコピーされました!

3.8.3. カスタム証明書パラメーターを使用した Satellite インストーラーの実行リンクのコピーリンクがクリップボードにコピーされました!

3.8.4. Satellite Server に接続されたすべてのホストへの新しい証明書のインストールリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

3.8.1. Satellite Server 向けの SSL 証明書の取得
リンクのコピー

3.8.2. Satellite Server の SSL 証明書の検証
リンクのコピー

3.8.3. カスタム証明書パラメーターを使用した Satellite インストーラーの実行
リンクのコピー

3.8.4. Satellite Server に接続されたすべてのホストへの新しい証明書のインストール
リンクのコピー