红帽全球峰会6.8. 在防火墙和 SELinux 上下文中添加端口
在我们的示例中,证书系统子系统使用以下端口:您可能需要为下表添加书签,以方便参考示例安装所使用的所选端口。
| 实例和服务 | 端口(RSA) | 端口(ECC) |
|---|---|---|
| RootCA | ||
| HTTP / HTTPS | 8080 / 8443 | 20080 / 20443 |
| CRL HTTP | 8085 | 20085 |
| LDAP | 389 / 636 | 1389 / 1636 |
| Tomcat | 8009 / 8005 | 20009 / 20005 |
| SubCA | ||
| HTTP / HTTPS | 31080 / 31443 | 21080 / 21443 |
| CRL HTTP | 31085 | 21085 |
| LDAP | 7389 / 7636 | 8389 / 8636 |
| Tomcat | 31009 / 31005 | 21009 / 21005 |
| OCSP (RootCA) | ||
| HTTP / HTTPS | 33080 / 33443 | 34080 / 34443 |
| LDAP | 6389 / 6636 | 2389 / 2636 |
| Tomcat | 33009 / 33005 | 34009 / 34005 |
| CRL 发布 | 12389 / 12636 | 13389 / 13636 |
| OCSP (SubCA) | ||
| HTTP / HTTPS | 32080 / 32443 | 22080 / 22443 |
| LDAP | 11389 / 11636 | 9389 / 9636 |
| Tomcat | 32009 / 32005 | 22009 / 22005 |
| CRL 发布 | 5389 / 5636 | 14389 / 14636 |
| KRA | ||
| HTTP / HTTPS | 28080 / 28443 | 23080 / 23443 |
| LDAP | 22389 / 22636 | 4389 / 4636 |
| Tomcat | 28009 / 28005 | 23009 / 23005 |
| TKS | ||
| HTTP / HTTPS | 24080 / 24443 | N/A |
| LDAP | 16389 / 16636 | N/A |
| Tomcat 管理 | 14009 / 14005 | N/A |
| TPS | ||
| HTTP / HTTPS | 25080 / 25443 | N/A |
| LDAP | 17389 / 17636 | N/A |
| TPS Auth | 9389 / 9636 | N/A |
| Tomcat 管理 | 14019 / 14015 | N/A |
当使用 pkispawn 工具设置证书系统时,您可以自定义端口号。如果您使用与上面列出的端口不同的端口,请在防火墙中相应地打开它们,如下所述。
要启用客户端和证书系统之间的通信,请在将托管相应服务的机器上打开防火墙中所需的端口:
确保
firewalld服务正在运行。# systemctl status firewalld启动
firewalld并将其配置为在系统引导时自动启动:# systemctl start firewalld # systemctl enable firewalld
在防火墙中添加端口
使用
firewall-cmd工具打开所需的端口。例如,要在默认防火墙区中打开 RootCA 实例的默认端口:# firewall-cmd --permanent --add-port={8080/tcp,8443/tcp,8009/tcp,8005/tcp}另外,要为 RootCA 的 LDAP 实例打开默认端口:
# firewall-cmd --permanent --add-port={389/tcp,636/tcp}验证所有要使用的端口是否已成功添加到防火墙中:
# firewall-cmd --list-ports重新载入防火墙配置,以确保立即进行更改:
# firewall-cmd --reload
使用 SELinux 上下文添加端口
如果要添加非默认端口,则需要在 SELinux 上下文中添加它们。如果没有,您会看到类似如下的错误: Installation failed: port 33080 has invalid selinux context ephemeral_port_t。
对于 CS 实例,将 SELinux 上下文添加到将用作
http_port_t类型的所有端口。您可以使用带有需要添加的所有端口的 FOR loop 命令快速完成此操作。例如,添加默认的 RootCA 端口:# for port in 8080 8443 8009 8005 31080 31443 31009 31005 33080 33443 33009 33005 32080 32443 32009 32005 28080 28443 28009 28005 24080 24443 14009 14005 25080 25443 14019 14015; do semanage port -a -t http_port_t -p tcp $port; done对于 DS 端口,将端口类型选项
http_port_t替换为ldap_port_t。例如,对于 RootCA 的 LDAP 端口:# for port in 389 636 7389 7636 6389 6636 12389 12636 11389 11636 5389 5636 22389 22636 16389 16636 17389 17636; do semanage port -a -t ldap_port_t -p tcp $i; done验证所有将使用的端口都与 SELinux 上下文成功添加:
# semanage port -l
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}