第2章 認証とセキュリティー
2.1. TLS/SSL 証明書 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Virtualization API には、Hypertext Transfer Protocol Secure (HTTPS) 脚注が必要です:[SDK や CLI コンポーネントなどのクライアントソフトウェアと安全にやり取りするためには、RFC 2818: HTTP Over TLS を参照してください。これには、サーバーが使用する CA 証明書 を取得して、クライアントの証明書ストアにインポートする必要があります。
2.1.1. CA 証明書の取得 リンクのコピーリンクがクリップボードにコピーされました!
Red Hat Virtualization Manager から CA 証明書を取得し、以下のいずれかの方法でクライアントマシンに転送できます。
- 方法 1
CA 証明書の取得で推奨の方法は、
openssl s_client
コマンドラインツールを使用してサーバーとの実際の TLS ハンドシェイクを実行し、サーバーが提示する証明書を抽出する方法です。以下の例のように、
openssl s_client
コマンドを実行します。openssl s_client \ -connect myengine.example.com:443 \ -showcerts \ < /dev/null
$ openssl s_client \ -connect myengine.example.com:443 \ -showcerts \ < /dev/null
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 出力例
Copy to Clipboard Copied! Toggle word wrap Toggle overflow -----BEGIN CERTIFICATE-----
行と-----END CERTIFICATE-----
行の間のテキストは、サーバーで提示された証明書が表示されています。最初の証明書は、サーバー自体の証明書です。2 番目の証明書は、CA の証明書です。
以下の例のように、
-----BEGIN CERTIFICATE-----
行と-----END CERTIFICATE-----
行を含む CA 証明書をca.crt
ファイルにコピーします。-----BEGIN CERTIFICATE----- MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs Pkyg1rQHR6ebGQ== -----END CERTIFICATE-----
-----BEGIN CERTIFICATE----- MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs Pkyg1rQHR6ebGQ== -----END CERTIFICATE-----
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 重要これは、サーバーが使用する CA 証明書を取得する最も信頼性の高い方法です。ここで説明されている残りの方法はほとんどの場合に機能しますが、証明書がサーバー管理者によって手動で置き換えられた場合は、正しい CA 証明書を取得することはできません。
- 方法 2
openssl s_client
を使用して証明書を取得できない場合は、curl
やwget
などのコマンドラインツールを使用して、Red Hat Virtualization Manager から CA 証明書をダウンロードすることができます。curl
とwget
は複数のプラットフォームで利用できます。curl
を使用している場合:curl \ --output ca.crt \ 'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
$ curl \ --output ca.crt \ 'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
Copy to Clipboard Copied! Toggle word wrap Toggle overflow wget
を使用している場合:wget \ --output-document ca.crt \ 'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
$ wget \ --output-document ca.crt \ 'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- 方法 3
Web ブラウザーを使用して、`https://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA` にある証明書に移動します。
選択したブラウザーによって、証明書はダウンロードされるか、またはブラウザーのキーストアにインポートされます。
-
ブラウザーで証明書をダウンロードした場合は、ファイルを
ca.crt
として保存します。 -
ブラウザーが証明書をインポートする場合は、ブラウザーの証明書管理オプションを使用してエクスポートし、
ca.crt
として保存します。
-
ブラウザーで証明書をダウンロードした場合は、ファイルを
- 方法 4
Red Hat Virtualization Manager にログインし、トラストストアから証明書をエクスポートして、クライアントマシンにコピーします。
-
Red Hat Virtualization Manager マシンに
root
としてログインします。 Java
keytool
管理ユーティリティーを使用して、トラストストアから証明書をエクスポートします。Copy to Clipboard Copied! Toggle word wrap Toggle overflow これにより、
ca.crt
という名前の証明書ファイルが作成されます。scp
コマンドを使用して、証明書をクライアントマシンにコピーします。scp ca.crt myuser@myclient.example.com:/home/myuser/.
$ scp ca.crt myuser@myclient.example.com:/home/myuser/.
Copy to Clipboard Copied! Toggle word wrap Toggle overflow これらの各メソッドにより、クライアントマシンの
ca.crt
という名前の証明書ファイルが作成されます。次に、このファイルをクライアントの証明書ストアにインポートする必要があります。
-
Red Hat Virtualization Manager マシンに
2.1.2. クライアントへの証明書のインポート リンクのコピーリンクがクリップボードにコピーされました!
クライアントへの証明書のインポートは、クライアントが証明書を保存し、解釈する方法に依存します。証明書のインポートに関する詳細は、クライアントのドキュメントを参照してください。