付録D Red Hat Virtualization と SSL
D.1. Red Hat Virtualization Manager の SSL 証明書の変更
警告
/etc/pki
ディレクトリーおよびサブディレクトリーのパーミッションと所有権は変更しないでください。/etc/pki
ディレクトリーおよび /etc/pki/ovirt-engine
ディレクトリーのパーミッションはデフォルトの 755 のままにする必要があります。
自分の組織の商用署名入り証明書を使用し、HTTPS を介して Red Hat Virtualization Manager に接続するユーザーに対して Manager が信頼できるサイトであることを証明します。
注記
商用に発行された HTTPS 接続用の証明書を使用しても、Manager とホスト間の認証に使用している証明書には影響を及ぼすことなく、Manager によって生成された自己署名証明書が引き続き使用されます。
前提条件
この手順には、商用証明書の発行機関から取得した PEM 形式の証明書、.nokey ファイル、および .cer ファイルが必要です。.nokey ファイルおよび .cer ファイルは、証明書と鍵のバンドルとして、P12 形式で配布されている場合があります。
本手順は、P12 形式の証明書/鍵バンドルがあることを前提としています。
重要
Red Hat Virtualization の新規インストールの場合には、以下の手順の全ステップを完了する必要があります。商用署名入り証明書が設定された Red Hat Enterprise Virtualization 3.6 環境からアップグレードした場合は、ステップ 1、8、9 を実行する必要があります。
手順D.1 Red Hat Virtualization Manager Apache SSL 証明書の置き換え
- 商用に発行された証明書をホスト全体のトラストストアに追加します。
# cp YOUR-3RD-PARTY-CERT.pem /etc/pki/ca-trust/source/anchors
# update-ca-trust
- Manager は、
/etc/pki/ovirt-engine/ca.pem
にシンボリックリンクされた/etc/pki/ovirt-engine/apache-ca.pem
を使用するように設定されているので、このシンボリックリンクを削除します。# rm /etc/pki/ovirt-engine/apache-ca.pem
- 商用に発行された証明書を
/etc/pki/ovirt-engine/apache-ca.pem
として保存します。証明書チェーンは、ルート証明書まで完了する必要があります。チェーンの順序は重要で、最新の中間証明書、ルート証明書の順にする必要があります。mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
- P12 バンドルをバックアップして
/etc/pki/ovirt-engine/keys/apache.p12
に移動します。 - バンドルから鍵を抽出します。
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
- バンドルから証明書を抽出します。
# openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
- Apache サーバーを再起動します。
# systemctl restart httpd.service
- 新しい信頼ストアの設定ファイルを作成します。
# vi /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
以下の内容を追加して、ファイルを保存します。ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts" ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
ovirt-engine
サービスを再起動します。systemctl restart ovirt-engine.service
HTTPS トラフィックの暗号化に使用する証明書の信頼性についての警告が表示されることなく、管理ポータルまたはユーザーポータルに接続できるようになりました。
重要
証明書を置き換えると、https://access.redhat.com/solutions/458713 に記載されているように、ログコレクターでエラーが発生する場合があります。このようなエラーを回避するには、ログコレクターの設定を以下のように編集してください。
- CA サーバーから CA 証明書をエクスポートして、Red Hat Virtualization Manager サーバーにコピーします。
/etc/ovirt-engine/logcollector.conf
に以下の行を追加して、ログコレクターを新規ロケーションにポイントします。cert-file=/path/to/new/CA/file