7.3. レガシー CA を許可するようにコンテンツ配信サーバーを設定
CDS ノードは通常、RHUI 3 で現在設定されている認証局 (CA) によって署名されたエンタイトルメント証明書のみを受け入れます。メインの CA を変更したり、CA 証明書の期限が切れた場合にクライアントが引き続き機能できるように、以前に作成したその他の CA を受け入れることができます。RHUI 3 は、従来の CA の概念に対応しています。ここでは、CDS ノードに他の CA 証明書をインストールして、使用できるようにできます。
手順
-
すべての RHUI ノードがバージョン 3.1 以降を実行していることを確認します。RHUI を旧バージョンからインストールした場合は、まず
rhui-manager
で CDS ノードを再インストールする必要もあります。 -
レガシーの CA 証明書を CDS ノードに移動し、
/etc/pki/rhui/legacy-ca/
ディレクトリーに保存します。 証明書からサブジェクトのハッシュ値を取得し、シェル変数に保持します。
#hash=`openssl x509 -hash -noout -in /etc/pki/rhui/legacy-ca/YOUR_CERT.crt`
ハッシュと、シンボリックリンク名として 0 から始まる未使用の番号を持つ
/etc/pki/tls/certs/
ディレクトリー内の証明書ファイルへのシンボリックリンクを作成します。#ln -s /etc/pki/rhui/legacy-ca/YOUR_CERT.crt /etc/pki/tls/certs/$hash.0
このアクションはすぐに有効になります。
注記
証明書の受け入れを停止する場合は、シンボリックリンクと証明書ファイルを削除して、httpd
サービスを再起動します。