2.7.2.2. カスタムの SSL 証明書の Capsule Server へのデプロイ

この手順を使用して、証明局が署名したカスタムの SSL 証明書で、Capsule Server を設定します。capsule-certs-generate コマンドにより返される、satellite-installer コマンドは、Capsule Server ごとに一意となっています。複数の Capsule Server に同じコマンドを使用しないでください。

前提条件

カスタムのサーバー証明書で Capsule Server を設定する前に、Satellite と Capsule が以下の条件を満たすことを確認してください。

Satellite Server は、カスタムの証明書で設定されている。詳細は、オンラインネットワークからの Satellite Server のインストールのカスタムの SSL 証明書を使用した Satellite Server の設定を参照してください。
Capsule Server が Satellite Server に登録されている。詳細は、「Satellite Server への登録」を参照してください。
Capsule Server パッケージがインストールされている。詳細は、「Capsule Server パッケージのインストール」を参照してください。

手順

カスタムの SSL 証明書で Capsule Server を設定するには、以下の手順を実行します。

Satellite Server で、カスタムの SSL 証明書の入力ファイルを検証します。

katello-certs-check \
-t capsule -c /root/capsule_cert/capsule_cert.pem \
-k /root/capsule_cert/capsule_cert_key.pem \
-b /root/capsule_cert/ca_cert_bundle.pem

# katello-certs-check \
-t capsule -c /root/capsule_cert/capsule_cert.pem \


-k /root/capsule_cert/capsule_cert_key.pem \


-b /root/capsule_cert/ca_cert_bundle.pem

Copy to Clipboard

Toggle word wrap

1: 認証局が署名した Capsule Server の証明書ファイルへのパス
2: Capsule Server 証明書の署名に使用した秘密鍵へのパス
3: 認証局バンドルへのパス

/root/capsule_cert/openssl.cnf 設定ファイルの証明書のコモンネーム CN = に、* のワイルドカードの値を設定した場合には、katello-certs-check コマンドに -t capsule オプションを追加する必要があります。

このコマンドに成功すると、capsule-certs-generate コマンド 2 つが返されます。このうちのいずれか 1 つを、Capsule Server の証明書アーカイブの生成に使用する必要があります。

katello-certs-check の出力例

Validation succeeded.

To use them inside a NEW $CAPSULE, run this command:

capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \
    --certs-tar  "~/$CAPSULE-certs.tar" \
    --server-cert "/root/capsule_cert/capsule_cert.pem" \
    --server-key "/root/capsule_cert/capsule_cert_key.pem" \
    --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \

To use them inside an EXISTING $CAPSULE, run this command INSTEAD:

  capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \
    --certs-tar  "~/$CAPSULE-certs.tar" \
    --server-cert "/root/capsule_cert/capsule_cert.pem" \
    --server-key "/root/capsule_cert/capsule_cert_key.pem" \
    --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \
    --certs-update-server

Validation succeeded.

To use them inside a NEW $CAPSULE, run this command:

capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \
    --certs-tar  "~/$CAPSULE-certs.tar" \
    --server-cert "/root/capsule_cert/capsule_cert.pem" \
    --server-key "/root/capsule_cert/capsule_cert_key.pem" \
    --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \

To use them inside an EXISTING $CAPSULE, run this command INSTEAD:

  capsule-certs-generate --foreman-proxy-fqdn "$CAPSULE" \
    --certs-tar  "~/$CAPSULE-certs.tar" \
    --server-cert "/root/capsule_cert/capsule_cert.pem" \
    --server-key "/root/capsule_cert/capsule_cert_key.pem" \
    --server-ca-cert "/root/capsule_cert/ca_cert_bundle.pem" \
    --certs-update-server

Copy to Clipboard

Toggle word wrap

Satellite Server で、katello-certs-check コマンドの出力をもとに、要件に合わせて、capsule-certs-generate コマンドを入力し、新規または既存の Capsule の証明書を生成します。
このコマンドで $CAPSULE を Capsule Server の FQDN に変更します。

capsule-certs-generate コマンドが返す satellite-installer コマンドのコピーをメモし、Capsule Server に証明書をデプロイします。

capsule-certs-generate の出力例

output omitted
satellite-installer \
--scenario capsule \
--certs-tar-file                              "/root/capsule_certs.tar"\
--foreman-proxy-content-parent-fqdn           "satellite.example.com"\
--foreman-proxy-register-in-foreman           "true"\
--foreman-proxy-foreman-base-url              "https://satellite.example.com"\
--foreman-proxy-trusted-hosts                 "satellite.example.com"\
--foreman-proxy-trusted-hosts                 "capsule.example.com"\
--foreman-proxy-oauth-consumer-key            "s97QxvUAgFNAQZNGg4F9zLq2biDsxM7f"\
--foreman-proxy-oauth-consumer-secret         "6bpzAdMpRAfYaVZtaepYetomgBVQ6ehY"\
--puppet-server-foreman-url                   "https://satellite.example.com"

output omitted
satellite-installer \
--scenario capsule \
--certs-tar-file                              "/root/capsule_certs.tar"\
--foreman-proxy-content-parent-fqdn           "satellite.example.com"\
--foreman-proxy-register-in-foreman           "true"\
--foreman-proxy-foreman-base-url              "https://satellite.example.com"\
--foreman-proxy-trusted-hosts                 "satellite.example.com"\
--foreman-proxy-trusted-hosts                 "capsule.example.com"\
--foreman-proxy-oauth-consumer-key            "s97QxvUAgFNAQZNGg4F9zLq2biDsxM7f"\
--foreman-proxy-oauth-consumer-secret         "6bpzAdMpRAfYaVZtaepYetomgBVQ6ehY"\
--puppet-server-foreman-url                   "https://satellite.example.com"

Copy to Clipboard

Toggle word wrap

Satellite Server から、証明書アーカイブファイルを Capsule Server にコピーします。

scp /root/capsule_cert/capsule.example.com-certs.tar \
root@capsule.example.com:/root/capsule.example.com-certs.tar

# scp /root/capsule_cert/capsule.example.com-certs.tar \
root@capsule.example.com:/root/capsule.example.com-certs.tar

Copy to Clipboard

Toggle word wrap

Capsule Server で、証明書をデプロイするには、capsule-certs-generate コマンドにより返された satellite-installer コマンドを入力します。
Satellite へのネットワーク接続やポートをまだ開いていない場合は、--foreman-proxy-register-in-foreman オプションを false に設定すると、Capsule が Satellite へ接続を試行しなくなり、エラー報告がなくなります。ネットワークとファイアウォールを適切に設定したら、このオプションを true にして再度インストーラーを実行します。
重要
証明書のデプロイ後に、証明書のアーカイブファイルを削除しないでください。このアーカイブは、Capsule Server のアップグレード時などに必要になります。

2.7.2.2. カスタムの SSL 証明書の Capsule Server へのデプロイ

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links