ホーム
製品
Red Hat Virtualization
4.4
REST API ガイド
第2章認証とセキュリティー

第2章認証とセキュリティー

2.1. TLS/SSL 証明書
リンクのコピー

Red Hat Virtualization API には、Hypertext Transfer Protocol Secure (HTTPS) 脚注が必要です:[SDK や CLI コンポーネントなどのクライアントソフトウェアと安全にやり取りするためには、RFC 2818: HTTP Over TLS を参照してください。これには、サーバーが使用する CA 証明書を取得して、クライアントの証明書ストアにインポートする必要があります。

2.1.1. CA 証明書の取得
リンクのコピー

Red Hat Virtualization Manager から CA 証明書を取得し、以下のいずれかの方法でクライアントマシンに転送できます。

方法 1

CA 証明書の取得で推奨の方法は、openssl s_client コマンドラインツールを使用してサーバーとの実際の TLS ハンドシェイクを実行し、サーバーが提示する証明書を抽出する方法です。

以下の例のように、openssl s_client コマンドを実行します。

openssl s_client \
-connect myengine.example.com:443 \
-showcerts \
< /dev/null

$ openssl s_client \
-connect myengine.example.com:443 \
-showcerts \
< /dev/null

Copy to Clipboard

Toggle word wrap

出力例

CONNECTED(00000003)
depth=1 C = US, O = Example Inc., CN = myengine.example.com.23416
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
 0 s:/C=US/O=Example Inc./CN=myengine.example.com
   i:/C=US/O=Example Inc./CN=myengine.example.com.23416
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgICEAQwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx
FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs
SVlJe7e5FTEtHJGTAeWWM6dGbsFhip5VXM0gfqg=
-----END CERTIFICATE-----
 1 s:/C=US/O=Example Inc./CN=myengine.example.com.23416
   i:/C=US/O=Example Inc./CN=myengine.example.com.23416
-----BEGIN CERTIFICATE-----
MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx
FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs
Pkyg1rQHR6ebGQ==
-----END CERTIFICATE-----

CONNECTED(00000003)
depth=1 C = US, O = Example Inc., CN = myengine.example.com.23416
verify error:num=19:self signed certificate in certificate chain
---
Certificate chain
 0 s:/C=US/O=Example Inc./CN=myengine.example.com
   i:/C=US/O=Example Inc./CN=myengine.example.com.23416
-----BEGIN CERTIFICATE-----
MIIEaTCCA1GgAwIBAgICEAQwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx
FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs
SVlJe7e5FTEtHJGTAeWWM6dGbsFhip5VXM0gfqg=
-----END CERTIFICATE-----
 1 s:/C=US/O=Example Inc./CN=myengine.example.com.23416
   i:/C=US/O=Example Inc./CN=myengine.example.com.23416
-----BEGIN CERTIFICATE-----
MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx
FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs
Pkyg1rQHR6ebGQ==
-----END CERTIFICATE-----

Copy to Clipboard

Toggle word wrap

-----BEGIN CERTIFICATE----- 行と -----END CERTIFICATE----- 行の間のテキストは、サーバーで提示された証明書が表示されています。

最初の証明書は、サーバー自体の証明書です。2 番目の証明書は、CA の証明書です。

以下の例のように、-----BEGIN CERTIFICATE----- 行と -----END CERTIFICATE----- 行を含む CA 証明書を ca.crt ファイルにコピーします。
```
-----BEGIN CERTIFICATE-----
MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx
FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs
Pkyg1rQHR6ebGQ==
-----END CERTIFICATE-----
```
```
-----BEGIN CERTIFICATE-----
MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx
FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs
Pkyg1rQHR6ebGQ==
-----END CERTIFICATE-----
```
Copy to Clipboard Toggle word wrap
重要
これは、サーバーが使用する CA 証明書を取得する最も信頼性の高い方法です。ここで説明されている残りの方法はほとんどの場合に機能しますが、証明書がサーバー管理者によって手動で置き換えられた場合は、正しい CA 証明書を取得することはできません。

方法 2

openssl s_client を使用して証明書を取得できない場合は、curl や wget などのコマンドラインツールを使用して、Red Hat Virtualization Manager から CA 証明書をダウンロードすることができます。curl と wget は複数のプラットフォームで利用できます。

curl を使用している場合:

curl \
--output ca.crt \
'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'

$ curl \
--output ca.crt \
'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'

Copy to Clipboard

Toggle word wrap

wget を使用している場合:

wget \
--output-document ca.crt \
'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'

$ wget \
--output-document ca.crt \
'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'

Copy to Clipboard

Toggle word wrap

方法 3

Web ブラウザーを使用して、`https://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA` にある証明書に移動します。

選択したブラウザーによって、証明書はダウンロードされるか、またはブラウザーのキーストアにインポートされます。

ブラウザーで証明書をダウンロードした場合は、ファイルを ca.crt として保存します。
ブラウザーが証明書をインポートする場合は、ブラウザーの証明書管理オプションを使用してエクスポートし、ca.crt として保存します。

方法 4

Red Hat Virtualization Manager にログインし、トラストストアから証明書をエクスポートして、クライアントマシンにコピーします。

Red Hat Virtualization Manager マシンに root としてログインします。
Java keytool 管理ユーティリティーを使用して、トラストストアから証明書をエクスポートします。
```
keytool \
-keystore /etc/pki/ovirt-engine/.truststore \
-storepass mypass \
-exportcert \
-alias cacert \
-rfc \
-file ca.crt
```
```
# keytool \
-keystore /etc/pki/ovirt-engine/.truststore \
-storepass mypass \
-exportcert \
-alias cacert \
-rfc \
-file ca.crt
```
Copy to Clipboard Toggle word wrap
これにより、ca.crt という名前の証明書ファイルが作成されます。
scp コマンドを使用して、証明書をクライアントマシンにコピーします。
```
scp ca.crt myuser@myclient.example.com:/home/myuser/.
```
```
$ scp ca.crt myuser@myclient.example.com:/home/myuser/.
```
Copy to Clipboard Toggle word wrap
これらの各メソッドにより、クライアントマシンの ca.crt という名前の証明書ファイルが作成されます。次に、このファイルをクライアントの証明書ストアにインポートする必要があります。

2.1.2. クライアントへの証明書のインポート
リンクのコピー

クライアントへの証明書のインポートは、クライアントが証明書を保存し、解釈する方法に依存します。証明書のインポートに関する詳細は、クライアントのドキュメントを参照してください。

トップに戻る

第2章認証とセキュリティー

2.1. TLS/SSL 証明書
リンクのコピー

2.1.1. CA 証明書の取得
リンクのコピー

2.1.2. クライアントへの証明書のインポート
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第2章 認証とセキュリティー

2.1. TLS/SSL 証明書リンクのコピーリンクがクリップボードにコピーされました!

2.1.1. CA 証明書の取得リンクのコピーリンクがクリップボードにコピーされました!

2.1.2. クライアントへの証明書のインポートリンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第2章認証とセキュリティー

2.1. TLS/SSL 証明書
リンクのコピー

2.1.1. CA 証明書の取得
リンクのコピー

2.1.2. クライアントへの証明書のインポート
リンクのコピー