付録D Red Hat Virtualization および SSL
D.1. Red Hat Virtualization Manager SSL/TLS 証明書の置き換え
警告
/etc/pki
ディレクトリーまたはサブディレクトリーのパーミッションおよび所有権は変更しないでください。/etc/pki および /etc/ pki
/ovirt-engine
ディレクトリーのパーミッションは、デフォルトの 755 のままにする必要があります。
組織のサードパーティー CA 証明書を使用して、HTTPS 経由で接続するユーザーに Red Hat Virtualization Manager を識別するには、以下の手順を使用します。
注記
HTTPS 接続にサードパーティーの CA 証明書を使用しても、Manager とホストとの間の認証に使用される証明書には影響しません。マネージャーによって生成された自己署名証明書を引き続き使用します。
前提条件
- サードパーティーの CA 証明書。これは、使用する証明書を発行した CA(認証局) の証明書です。PEM ファイルとして提供されます。証明書チェーンは、ルート証明書まで完全である必要があります。チェーンの順序は重要であり、最後の中間証明書からルート証明書まででなければなりません。この手順では、サードパーティーの CA 証明書が
/tmp/3rd-party-ca-cert.pem
で提供されることを前提としています。 - Apache httpd で使用する秘密鍵パスワードを含めることはできません。この手順では、
/tmp/apache.key
にあることを前提としています。 - CA が発行する証明書。この手順では、
/tmp/apache.cer
にあることを前提としています。
CA から秘密鍵と証明書を P12 ファイルで受け取った場合は、次の手順を使用してそれらを抽出します。その他のファイル形式については、CA にお問い合わせください。秘密鍵と証明書を抽出したら、Red Hat Virtualization Manager の Apache SSL 証明書の置き換え に進みます。
手順D.1 P12 バンドルからの証明書および秘密鍵の抽出
内部 CA は、内部で生成された鍵と証明書を
/etc/pki/ovirt-engine/keys/apache.p12
の P12 ファイルに保存します。Red Hat では、新しいファイルを同じ場所に保存することを推奨します。以下の手順では、新しい P12 ファイルが /tmp/apache.p12
にあることを前提としています。
- 現在の
apache.p12
ファイルをバックアップします。# cp -p /etc/pki/ovirt-engine/keys/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12.bck
- 現在のファイルを新しいファイルに置き換えます。
# cp /tmp/apache.p12 /etc/pki/ovirt-engine/keys/apache.p12
- 秘密鍵と証明書を必要な場所に抽出します。ファイルがパスワードで保護されている場合は、-passin pass: password を追加し、passwordを必要な パスワード に置き換える必要があります。
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /tmp/apache.key # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /tmp/apache.cer
重要
Red Hat Virtualization の新規インストールでは、この手順のすべてのステップを完了する必要があります。商用署名証明書が設定されている Red Hat Enterprise Virtualization 3.6 環境からアップグレードした場合は、実行する必要がある手順は 1、8、および 9 のみです。
手順D.2 Red Hat Virtualization Manager Apache SSL 証明書の置き換え
- CA 証明書をホスト全体のトラストストアに追加します。
# cp /tmp/3rd-party-ca-cert.pem /etc/pki/ca-trust/source/anchors
# update-ca-trust
- Manager は、
/etc/pki/ovirt-engine/ca.pem
にシンボリックリンクされている/etc/pki/ovirt-engine/apache-ca.pem
を使用するように設定されています。シンボリックリンクを削除します。# rm /etc/pki/ovirt-engine/apache-ca.pem
- CA 証明書を
/etc/pki/ovirt-engine/apache-ca.pem
として保存します。# cp /tmp/3rd-party-ca-cert.pem /etc/pki/ovirt-engine/apache-ca.pem
- 既存の秘密鍵と証明書をバックアップします。
# cp /etc/pki/ovirt-engine/keys/apache.key.nopass /etc/pki/ovirt-engine/keys/apache.key.nopass.bck # cp /etc/pki/ovirt-engine/certs/apache.cer /etc/pki/ovirt-engine/certs/apache.cer.bck
- 秘密鍵を必要な場所にコピーします。
# cp /tmp/apache.key /etc/pki/ovirt-engine/keys/apache.key.nopass
- 証明書を必要な場所にコピーします。
# cp /tmp/apache.cer /etc/pki/ovirt-engine/certs/apache.cer
- Apache サーバーを再起動します。
# systemctl restart httpd.service
- 新しいトラストストア設定ファイルを作成します。
# vi /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
以下の内容を追加して、ファイルを保存します。ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
ovirt-engine
サービスを再起動します。# systemctl restart ovirt-engine.service
- 証明書を置き換えると、ログコレクターが失敗する可能性があります。これを防ぐには、新しいログコレクター設定ファイルを作成します。
# vi /etc/ovirt-engine/logcollector.conf.d/99-custom-ca-cert.conf
以下の内容を追加して、ファイルを保存します。[LogCollector] cert-file=/etc/pki/ovirt-engine/apache-ca.pem
ユーザーは、HTTPS トラフィックの暗号化に使用される証明書の信頼性について警告せずに、管理ポータルおよびユーザーポータルに接続できるようになりました。