红帽全球峰会第 3 章 SSL 构架
对于红帽网络客户来说,安全性是要关注的首要问题。红帽网络的优势之一就是可在安全套接层或者 SSL 中处理每一个请求。要保持这种级别的安全性,在其构架中安装红帽网络的客户必须生成自定义的 SSL 密钥和证书。
也可以手动生成和部署 SSL 密钥及证书。RHN Proxy 服务器 和 RHN Satellite 服务器都允许您在安装过程中根据您自己的专用认证机构(CA)创建您自己的 SSL 密钥和证书。另外还可使用独立的命令行工具 RHN SSL Maintenance 完成此工作。无论您使用什么方法,必须将这些密钥和证书部署到您所管理构架的所有系统中。在很多情况下会自动为您部署这些 SSL 密钥和证书。本章论述了执行这些任务的有效方法。
请注意,本章不深入介绍 SSL。RHN SSL Maintenance 的设计省却了很多设置和维护此公钥构架(PKI)的复杂性。有关详情请查阅相关的参考书籍。
3.1. SSL 简介
复制链接链接已复制到粘贴板!
SSL,也称安全套接层,是一个可让客户端-服务器应用程序安全传递信息的协议。SSL 使用公钥和私钥对加密客户端和服务器之间的沟通。公共证书可以公开,但私钥必须保密。它是使系统工作的专用密钥及其配对公共证书间的数学关系(即数字签名)。通过这个关系可建立可信连接。
注意
对 SSL 私钥以及公共证书的讨论将贯穿本文档始终。二者都可作为密钥,一个是公钥,一个是私钥。但在讨论 SSL 时,通常,SSL 密钥对(或者密钥组)一半的公钥指的是 SSL 公共证书。
一个机构的 SSL 构架通常由 SSL 密钥和证书组成:
- 认证机构(CA)SSL 私钥和公共证书 — 通常每个机构只生成一对。公共证书使用其私钥进行数字签名。会将公共证书发布到每个系统。
- 网页服务器 SSL 私钥和公共证书 — 每个应用程序服务器都有一组。同时使用其私钥和 CA SSL 私钥为其进行数字签名。我们经常会参考网页服务器的密钥组,这是因为中继的 SSL 证书要求生成网页服务器密钥。有关此密钥应用的详情并不重要,在此不进行具体讨论。要求将这三个密钥都部署到 RHN 服务器中。
下面的实例可以帮助您了解虚拟化的概念:如果您的机构有一个 RHN Satellite 服务器和五个 RHN Proxy 服务器,您就需要生成一个 CA SSL 密钥对和六个网页服务器 SSL 密钥组。CA SSL 公共证书会被部署到所有系统中,且所有要与其各自的 upstream 服务器建立连接的客户端都会使用该证书。每个服务器都有自己的 SSL 密钥组,该密钥组与特定服务器主机名捆绑,并由其自身 SSL 私钥和 CA SSL 私钥联合生成。这样就在网页服务器的 SSL 公共证书和 CA SSL 密钥对以及服务器私钥间建立了数字验证关联。网页服务器的密钥组不能被其它网页服务器共享。
重要
这个系统中最重要的部分就是 CA SSL 密钥对。通过那个私钥和公共证书,管理员可重新生成任意网页服务器 SSL 密钥组。这个 CA SSL 密钥对一定要保存在安全的位置。强烈建议您设置并运行了服务器的完整 RHN 构架后,将使用此工具和/或者安装程序生成的 SSL 创建目录归档到独立的介质中,记录 CA 密码,并将该介质和密码妥善保管。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}