红帽全球峰会第 3 章 SSL 构架
对于 Red Hat Network 客户来说,安全性是要关注的首要问题。Red Hat Network 的优点之一就是可在安全套接层或者 SSL 中处理每一个请求。要保持这种水准层的安全性,在其构架中安装 Red Hat Network 的客户必须生成定制的 SSL 密钥和证书。
也可以手动生成和部署 SSL 密钥及证书。RHN Proxy Server 和 RHN Satellite Server 都允许您在安装过程中根据您自己的专用认证机构(CA)创建您自己的 SSL 密钥和证书。另外还可使用独立的命令行工具 RHN SSL Maintenance Tool 完成此工作。无论您使用什么方法,必须将这些密钥和证书部署到您所管理构架的所有系统中。在很多情况下会自动为您部署这些 SSL 密钥和证书。本章论述了执行这些任务的有效方法。
请注意,本章不深入介绍 SSL。RHN SSL Maintenance Tool 的设计掩饰了很多设置和维护此公钥构架(PKI)的复杂性。有关详情请查阅相关的参考书籍。
3.1. SSL 简介
复制链接链接已复制到粘贴板!
SSL,也称安全套接层,是一个可让客户端-服务器应用程序安全传递信息的协议。SSL 使用公钥和私钥对的构架来对客户端和服务器之间的沟通加密。公共证书可以公开,但私钥必须保密。它是使系统工作的专用密钥及其配对公共证书间的数学关系(即数字签名)。通过这个关系可建立可信连接。
注意
有关 SSL 私钥和公共证书的讨论贯穿于本文档始终。从技术角度说,两者都可作为密钥参考(公钥和私钥)。但按惯例,在讨论 SSL 时,使用 SSL 密钥对的公共部分那一半作为 SSL 公共证书。
一个机构的 SSL 构架通常由 SSL 密钥和证书组成:
- 认证机构(CA)SSL 私钥和公共证书 — 通常每个机构只生成一对。公共证书使用其私钥进行数字签名。公共证书会被发布到每个系统。
- 网页服务器 SSL 私钥和公共证书 — 每个应用程序服务器都有一组。使用其私钥和 CA SSL 私钥对进行数字签名。我们经常会参考网页服务器的密钥组,这是因为中继的 SSL 证书要求生成网页服务器密钥。有关此密钥应用的详情并不重要,在此不进行具体讨论。要求将这三个密钥都部署到 RHN服务器中。
有这样一种情况:如果您有一个 RHN Satellite Server 和五个 RHN Proxy Server,您就需要生成一个 CA SSL 密钥对和六个网页服务器 SSL 密钥组。CA SSL 公共证书会被部署到所有系统中,所有要与其对映上级服务器建立连接的客户端都会使用该证书。每个服务器都有其自身的与特定服务器主机名绑定的 SSL 密钥组,该密钥组是由其自身 SSL 私钥和 CA SSL 私钥联合生成的。这样就在网页服务器的 SSL 公共证书和 CA SSL 密钥对以及服务器私钥间建立了数字验证关联。网页服务器的密钥组不能被其它网页服务器共享。
重要
这个系统中最重要的部分就是 CA SSL 密钥对。通过那个私钥和公共证书,管理员可重新生成任意网页服务器 SSL 密钥组。这个 CA SSL 密钥对必须是保密的。强烈建议您设置并运行了服务器的完整 RHN 构架后,将使用此工具和/或者安装程序生成的 SSL 创建目录归档到独立的介质中,记录 CA 密码,并将该介质和密码妥善保管。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}