4.12. 使用自定义 SSL 证书配置 Satellite 服务器

流程

1. 要存储所有源证书文件，请创建一个只可由 root 用户访问的目录。

   # mkdir /root/satellite_cert

   Copy to Clipboard Toggle word wrap

2. 创建为证书签名请求(CSR)签名的私钥。

   请注意，私钥必须未加密。如果您使用受密码保护的私钥，请删除私钥密码。

   如果您已拥有此卫星服务器的私钥，请跳过这一步。

   # openssl genrsa -out /root/satellite_cert/satellite_cert_key.pem 4096

   Copy to Clipboard Toggle word wrap

3. 为证书签名请求(CSR)创建 /root/satellite_cert/openssl.cnf 配置文件，并包含以下内容：

   [ req ]
   req_extensions = v3_req
   distinguished_name = req_distinguished_name
   x509_extensions = usr_cert
   prompt = no
   
   [ req_distinguished_name ] 

   1

   
   C  = Country Name (2 letter code)
   ST = State or Province Name (full name)
   L  = Locality Name (eg, city)
   O  = Organization Name (eg, company)
   OU = The division of your organization handling the certificate
   CN = satellite.example.com 

   2

   
   
   [ v3_req ]
   basicConstraints = CA:FALSE
   keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
   extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
   subjectAltName = @alt_names
   
   [ usr_cert ]
   basicConstraints=CA:FALSE
   nsCertType = client, server, email
   keyUsage = nonRepudiation, digitalSignature, keyEncipherment
   extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
   nsComment = "OpenSSL Generated Certificate"
   subjectKeyIdentifier=hash
   authorityKeyIdentifier=keyid,issuer
   
   [ alt_names ]
   DNS.1 = satellite.example.com 

   3

   Copy to Clipboard Toggle word wrap

   1

   在 [ req_distinguished_name ] 部分中，输入有关您的机构的信息。

   2

   将证书的通用名称 CN 设置为与卫星服务器的完全限定域名(FQDN)匹配。若要确认 FQDN，可在该卫星服务器上输入 hostname -f 命令。这需要确保 katello-certs-check 命令正确验证证书。

   3

   将 Subject Alternative Name (SAN) DNS.1 设置为与您的服务器的完全限定域名(FQDN)匹配。

4. 生成证书签名请求(CSR)：

   # openssl req -new \
   -key /root/satellite_cert/satellite_cert_key.pem \ 

   1

   
   -config /root/satellite_cert/openssl.cnf \ 

   2

   
   -out /root/satellite_cert/satellite_cert_csr.pem 

   3

   Copy to Clipboard Toggle word wrap

   1

   私钥的路径。

   2

   到配置文件的路径。

   3

   要生成的 CSR 的路径。

5. 将证书签名请求发送到证书颁发机构。相同的证书颁发机构必须签署卫星服务器和胶囊服务器的证书。

   提交请求时，指定证书的 lifespan。发送证书请求的方法会有所不同，因此请查阅证书颁发机构来获得首选方法。为响应请求，预计可在单独的文件中接收证书颁发机构捆绑包和签名证书。

流程

1. 验证自定义 SSL 证书输入文件。请注意，对于 katello-certs-check 命令正常工作，证书中的通用名称(CN)必须与卫星服务器的 FQDN 匹配。

   # katello-certs-check \
   -c /root/satellite_cert/satellite_cert.pem \      

   1

   
   -k /root/satellite_cert/satellite_cert_key.pem \  

   2

   
   -b /root/satellite_cert/ca_cert_bundle.pem        

   3

   Copy to Clipboard Toggle word wrap

   1

   由证书颁发机构签名的卫星服务器证书文件的路径。

   2

   用于签署卫星服务器证书的私钥的路径。

   3

   证书颁发机构捆绑包的路径。

   如果命令成功，它会返回两个 satellite-installer 命令，其中一个命令必须使用它来将证书部署到卫星服务器。

   要使用自定义证书安装 Red Hat Satellite 服务器，请运行：

     satellite-installer --scenario satellite \
       --certs-server-cert "/root/satellite_cert/satellite.example.com_cert.pem" \
       --certs-server-key "/root/satellite_cert/satellite.example.com_cert_key.pem" \
       --certs-server-ca-cert "/root/satellite_cert/CA-Chain.pem"

   Copy to Clipboard Toggle word wrap

   要更新当前运行的 Satellite 安装中的证书，请运行：

     satellite-installer --scenario satellite \
       --certs-server-cert "/root/satellite_cert/satellite.example.com_cert.pem" \
       --certs-server-key "/root/satellite_cert/satellite.example.com_cert_key.pem" \
       --certs-server-ca-cert "/root/satellite_cert/CA-Chain.pem" \
       --certs-update-server \
       --certs-update-server-ca

   Copy to Clipboard Toggle word wrap

2. 根据您的要求，输入 satellite-installer 命令，该命令使用自定义 SSL 证书安装新的卫星服务器，或在当前运行的卫星服务器上更新证书。在某些情况下，katello-certs-check 命令的输出可能并不准确。因此，您必须遵循上述步骤，而不是命令输出。

   如果您不确定要运行哪些命令，可以通过检查 /etc/foreman-installer/scenarios.d/.installed.d/.installed 文件来验证是否安装了卫星。如果文件存在，请运行更新证书的第二个 satellite-installer 命令。

   重要

   部署证书后，请勿删除证书存档文件。例如，在升级卫星服务器时，需要它。

3. 在有网络访问卫星服务器的计算机中，导航到以下 URL： \https://satellite.example.com。
4. 在浏览器中，查看证书详情以验证部署的证书。