7.4. 从软件包部署 Keylime registrar

流程

1. 安装 Keylime 注册器：

   # dnf install keylime-registrar

2. 通过在 /etc/keylime/registrar.conf.d/ 目录中创建一个新的 .conf 文件来定义注册中心的 IP 地址和端口，例如：/etc/keylime/registrar.conf.d/00-registrar-ip.conf，其内容如下：

   [registrar]
   ip = <registrar_IP_address>

   • 将 <registrar_IP_address> 替换为注册中心的 IP 地址。或者，使用 ip = * 或 ip = 0.0.0.0 将注册器绑定到所有可用 IP 地址。
   • 可选，使用 port 选项更改 Keylime 代理连接的端口。默认值为 8890。
   • 可选，使用 tls_port 选项更改 Keylime 验证器和租户连接的 TLS 端口。默认值为 8891。

3. 可选：为代理列表配置注册数据库。默认配置使用 registrar 的 /var/lib/keylime/reg_data.sqlite 目录中的 SQLite 数据库。您可以在 /etc/keylime/registrar.conf.d/ 目录中创建一个新的 .conf 文件，例如： /etc/keylime/registrar.conf.d/00-db-url.conf，其内容如下：

   [registrar]
   database_url = <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties>

   将 <protocol>://<name>:<password>@<ip_address_or_hostname>/<properties> 替换为数据库的 URL，如 postgresql://registrar:EKYX-bqY2?#raXm@198.51.100.1/registrardb。

   确保您使用的凭证对 Keylime 有权限，以创建数据库结构。

4. 在注册器中添加证书和密钥：

   • 您可以使用默认配置，并将密钥和证书加载到 /var/lib/keylime/reg_ca/ 目录中。

   • 或者，您可以在配置中定义密钥和证书的位置。在 /etc/keylime/registrar.conf.d/ 目录中创建一个新的 .conf 文件，例如： /etc/keylime/registrar.conf.d/00-keys-and-certs.conf，其内容如下：

     [registrar]
     tls_dir = /var/lib/keylime/reg_ca
     server_key = </path/to/server_key>
     server_key_password = <passphrase1>
     server_cert = </path/to/server_cert>
     trusted_client_ca = ['</path/to/ca/cert1>', '</path/to/ca/cert2>']

     注意

     使用绝对路径定义密钥和证书位置。或者，您可以在 tls_dir 选项中定义目录，并使用相对于该目录的路径。

5. 在防火墙中打开端口：

   # firewall-cmd --add-port 8890/tcp --add-port 8891/tcp
   # firewall-cmd --runtime-to-permanent

   如果您使用其他端口，请将 8890 或 8891 替换为 .conf 文件中定义的端口号。

6. 启动 keylime_registrar 服务：

   # systemctl enable --now keylime_registrar

   注意

   在默认配置中，在启动 keylime_registrar 服务前启动 keylime_verifier，因为验证器会为其他 Keylime 组件创建 CA 和证书。使用自定义证书时不需要这个顺序。