検索

付録D Red Hat Virtualization と SSL

download PDF

D.1. Red Hat Virtualization Manager の SSL 証明書の変更

警告

/etc/pki ディレクトリーおよびサブディレクトリーのパーミッションと所有権は変更しないでください。/etc/pki ディレクトリーおよび /etc/pki/ovirt-engine ディレクトリーのパーミッションはデフォルトの 755 のままにする必要があります。
自分の組織の商用署名入り証明書を使用し、HTTPS を介して Red Hat Virtualization Manager に接続するユーザーに対して Manager が信頼できるサイトであることを証明します。

注記

商用に発行された HTTPS 接続用の証明書を使用しても、Manager とホスト間の認証に使用している証明書には影響を及ぼすことなく、Manager によって生成された自己署名証明書が引き続き使用されます。
前提条件

この手順には、商用証明書の発行機関から取得した PEM 形式の証明書、.nokey ファイル、および .cer ファイルが必要です。.nokey ファイルおよび .cer ファイルは、証明書と鍵のバンドルとして、P12 形式で配布されている場合があります。

本手順は、P12 形式の証明書/鍵バンドルがあることを前提としています。

重要

Red Hat Virtualization の新規インストールの場合には、以下の手順の全ステップを完了する必要があります。商用署名入り証明書が設定された Red Hat Enterprise Virtualization 3.6 環境からアップグレードした場合は、ステップ 1、8、9 を実行する必要があります。

手順D.1 Red Hat Virtualization Manager Apache SSL 証明書の置き換え

  1. 商用に発行された証明書をホスト全体のトラストストアに追加します。
    # cp YOUR-3RD-PARTY-CERT.pem /etc/pki/ca-trust/source/anchors
    # update-ca-trust
  2. Manager は、/etc/pki/ovirt-engine/ca.pem にシンボリックリンクされた /etc/pki/ovirt-engine/apache-ca.pem を使用するように設定されているので、このシンボリックリンクを削除します。
    # rm /etc/pki/ovirt-engine/apache-ca.pem
  3. 商用に発行された証明書を /etc/pki/ovirt-engine/apache-ca.pem として保存します。証明書チェーンは、ルート証明書まで完了する必要があります。チェーンの順序は重要で、最新の中間証明書、ルート証明書の順にする必要があります。
    mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem
  4. P12 バンドルをバックアップして /etc/pki/ovirt-engine/keys/apache.p12 に移動します。
  5. バンドルから鍵を抽出します。
    # openssl pkcs12 -in  /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass
  6. バンドルから証明書を抽出します。
    # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer
  7. Apache サーバーを再起動します。
    # systemctl restart httpd.service
  8. 新しい信頼ストアの設定ファイルを作成します。
    # vi /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf
    以下の内容を追加して、ファイルを保存します。
    ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
    ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""
  9. ovirt-engine サービスを再起動します。
    systemctl restart ovirt-engine.service
HTTPS トラフィックの暗号化に使用する証明書の信頼性についての警告が表示されることなく、管理ポータルまたはユーザーポータルに接続できるようになりました。

重要

証明書を置き換えると、https://access.redhat.com/solutions/458713 に記載されているように、ログコレクターでエラーが発生する場合があります。このようなエラーを回避するには、ログコレクターの設定を以下のように編集してください。
  1. CA サーバーから CA 証明書をエクスポートして、Red Hat Virtualization Manager サーバーにコピーします。
  2. /etc/ovirt-engine/logcollector.conf に以下の行を追加して、ログコレクターを新規ロケーションにポイントします。
    cert-file=/path/to/new/CA/file
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.