第2章 認証とセキュリティー
2.1. TLS/SSL 証明書
Red Hat Virtualization API には、Hypertext Transfer Protocol Secure (HTTPS) 脚注が必要です:[SDK や CLI コンポーネントなどのクライアントソフトウェアと安全にやり取りするためには、RFC 2818: HTTP Over TLS を参照してください。これには、サーバーが使用する CA 証明書 を取得して、クライアントの証明書ストアにインポートする必要があります。
2.1.1. CA 証明書の取得
Red Hat Virtualization Manager から CA 証明書を取得し、以下のいずれかの方法でクライアントマシンに転送できます。
- 方法 1
CA 証明書の取得で推奨の方法は、
openssl s_clientコマンドラインツールを使用してサーバーとの実際の TLS ハンドシェイクを実行し、サーバーが提示する証明書を抽出する方法です。以下の例のように、
openssl s_clientコマンドを実行します。$ openssl s_client \ -connect myengine.example.com:443 \ -showcerts \ < /dev/null
出力例
CONNECTED(00000003) depth=1 C = US, O = Example Inc., CN = myengine.example.com.23416 verify error:num=19:self signed certificate in certificate chain --- Certificate chain 0 s:/C=US/O=Example Inc./CN=myengine.example.com i:/C=US/O=Example Inc./CN=myengine.example.com.23416 -----BEGIN CERTIFICATE----- MIIEaTCCA1GgAwIBAgICEAQwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs SVlJe7e5FTEtHJGTAeWWM6dGbsFhip5VXM0gfqg= -----END CERTIFICATE----- 1 s:/C=US/O=Example Inc./CN=myengine.example.com.23416 i:/C=US/O=Example Inc./CN=myengine.example.com.23416 -----BEGIN CERTIFICATE----- MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs Pkyg1rQHR6ebGQ== -----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----行と-----END CERTIFICATE-----行の間のテキストは、サーバーで提示された証明書が表示されています。最初の証明書は、サーバー自体の証明書です。2 番目の証明書は、CA の証明書です。
以下の例のように、
-----BEGIN CERTIFICATE-----行と-----END CERTIFICATE-----行を含む CA 証明書をca.crtファイルにコピーします。-----BEGIN CERTIFICATE----- MIIDxjCCAq6gAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwSTELMAkGA1UEBhMCVVMx FTATBgNVBAoTDEV4YW1wbGUgSW5jLjEjMCEGA1UEAxMaZW5naW5lNDEuZXhhbXBs Pkyg1rQHR6ebGQ== -----END CERTIFICATE-----
重要これは、サーバーが使用する CA 証明書を取得する最も信頼性の高い方法です。ここで説明されている残りの方法はほとんどの場合に機能しますが、証明書がサーバー管理者によって手動で置き換えられた場合は、正しい CA 証明書を取得することはできません。
- 方法 2
openssl s_clientを使用して証明書を取得できない場合は、curlやwgetなどのコマンドラインツールを使用して、Red Hat Virtualization Manager から CA 証明書をダウンロードすることができます。curlとwgetは複数のプラットフォームで利用できます。curlを使用している場合:$ curl \ --output ca.crt \ 'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
wgetを使用している場合:$ wget \ --output-document ca.crt \ 'http://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA'
- 方法 3
Web ブラウザーを使用して、`https://myengine.example.com/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA` にある証明書に移動します。
選択したブラウザーによって、証明書はダウンロードされるか、またはブラウザーのキーストアにインポートされます。
-
ブラウザーで証明書をダウンロードした場合は、ファイルを
ca.crtとして保存します。 -
ブラウザーが証明書をインポートする場合は、ブラウザーの証明書管理オプションを使用してエクスポートし、
ca.crtとして保存します。
-
ブラウザーで証明書をダウンロードした場合は、ファイルを
- 方法 4
Red Hat Virtualization Manager にログインし、トラストストアから証明書をエクスポートして、クライアントマシンにコピーします。
-
Red Hat Virtualization Manager マシンに
rootとしてログインします。 Java
keytool管理ユーティリティーを使用して、トラストストアから証明書をエクスポートします。# keytool \ -keystore /etc/pki/ovirt-engine/.truststore \ -storepass mypass \ -exportcert \ -alias cacert \ -rfc \ -file ca.crt
これにより、
ca.crtという名前の証明書ファイルが作成されます。scpコマンドを使用して、証明書をクライアントマシンにコピーします。$ scp ca.crt myuser@myclient.example.com:/home/myuser/.
これらの各メソッドにより、クライアントマシンの
ca.crtという名前の証明書ファイルが作成されます。次に、このファイルをクライアントの証明書ストアにインポートする必要があります。
-
Red Hat Virtualization Manager マシンに
2.1.2. クライアントへの証明書のインポート
クライアントへの証明書のインポートは、クライアントが証明書を保存し、解釈する方法に依存します。証明書のインポートに関する詳細は、クライアントのドキュメントを参照してください。
