Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

4.3. 在没有 Puppet 的情况下为负载均衡配置带有自定义 SSL 证书的 Capsule 服务器

下面的部分论述了如何配置使用自定义 SSL 证书进行负载平衡的 Capsule 服务器,而无需 Puppet。

4.3.1. 为 Capsule 服务器创建自定义 SSL 证书
复制链接

此流程概述了如何为证书签名请求创建配置文件,并将负载均衡器和 Capsule 服务器用作主题备用名称(SAN)。在您要配置用于负载平衡的每个 Capsule 服务器上完成这个步骤。

流程

  1. 在 Capsule 服务器上,创建一个目录来包含所有源证书文件,只能通过 root 用户访问: 

    # mkdir /root/capsule_cert
# cd /root/capsule_cert
    Copy to Clipboard Toggle word wrap

  2. 创建为证书签名请求(CSR)签名的私钥。

    请注意,私钥必须是未加密的。如果您使用密码保护的私钥,请删除私钥密码。

    如果您已拥有此 Capsule 服务器的私钥,请跳过这一步。 

    # openssl genrsa -out /root/capsule_cert/capsule_cert_key.pem 4096
    Copy to Clipboard Toggle word wrap

  3. 使用以下内容创建证书请求配置文件: 

    [ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext
prompt = no

[ req_distinguished_name ]
countryName=2 Letter Country Code
stateOrProvinceName=State or Province Full Name
localityName=Locality Name
0.organizationName=Organization Name
organizationalUnitName=Capsule Organization Unit Name
commonName=capsule.example.com
    1 
    
emailAddress=Email Address

[ req_ext ]
#authorityKeyIdentifier=keyid,issuer
#basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
    2 
    
DNS.1 = loadbalancer.example.com
DNS.2 = capsule.example.com
    Copy to Clipboard Toggle word wrap
    1
    证书的通用名称必须与 Capsule 服务器的 FQDN 匹配。在为负载平衡配置的每个 Capsule 服务器上运行命令时,请确保更改此设置。您还可以设置通配符值 sVirt。如果设置通配符值,您必须在使用 katello-certs-check 命令时添加 -t capsule 选项。
    2
    [alt_names] 下,将负载均衡器的 FQDN 作为 DNS.1 和 Capsule 服务器的 FQDN 作为 DNS.2

  4. 为 SAN 证书创建证书签名请求(CSR)。 

    # openssl req -new \
-key /root/capsule_cert/capsule_cert_key.pem \
    1 
    
-config SAN_config.cfg \
    2 
    
-out /root/capsule_cert/capsule_cert_csr.pem
    3
    Copy to Clipboard Toggle word wrap
    1
    Capsule 服务器的私钥,用于签署证书
    2
    证书请求配置文件
    3
    证书签名请求文件

  5. 将证书请求发送到证书颁发机构:

    当您提交请求时,指定证书的 Lifespan。发送证书请求的方法会有所不同,因此请参阅证书颁发机构以获取首选方法。根据请求,您可以在单独的文件中接收证书颁发机构捆绑包和签名证书。

  6. 将您从证书颁发机构接收的证书颁发机构捆绑包和 Capsule 服务器证书文件复制到 Satellite 服务器。

  7. 在 Satellite 服务器上,验证 Capsule 服务器证书输入文件: 

    # katello-certs-check \
-c /root/capsule_cert/capsule_cert.pem \
    1 
    
-k /root/capsule_cert/capsule_cert_key.pem \
    2 
    
-b /root/capsule_cert/ca_cert_bundle.pem
    3
    Copy to Clipboard Toggle word wrap
    1
    由您的证书颁发机构提供的 Capsule 服务器证书文件
    2
    用于为证书签名的 Capsule 服务器的私钥
    3
    证书颁发机构捆绑包,由您的证书颁发机构提供

    如果将 commonName= 设置为通配符值,您必须将 -t\":\" 选项添加到 katello-certs-check 命令中。

    保留由 katello -certs-check 命令创建证书归档文件(用于为此 Capsule 服务器创建证书归档文件)输出的示例,example-certs-generate 命令的副本。

在您要配置用于负载平衡的每个 Capsule 服务器上完成这个步骤。

流程

  1. 将以下选项附加到从 katello -certs-check 命令的输出中获取的 evince-certs-generate 命令中: 

    --foreman-proxy-cname loadbalancer.example.com
    Copy to Clipboard Toggle word wrap

  2. 在 Satellite 服务器上,输入 evince-certs-generate 命令来生成 Capsule 证书。例如: 

    # capsule-certs-generate \
--foreman-proxy-fqdn capsule.example.com \
--certs-tar /root/capsule_cert/capsule.tar \
--server-cert /root/capsule_cert/capsule.pem \
--server-key /root/capsule_cert/capsule.pem \
--server-ca-cert /root/capsule_cert/ca_cert_bundle.pem \
--foreman-proxy-cname loadbalancer.example.com
    Copy to Clipboard Toggle word wrap

    为安装 Capsule 服务器证书的输出保留 satellite-installer 命令示例副本。

  3. 将证书存档文件从 Satellite 服务器复制到 Capsule 服务器: 

    # scp /root/capsule.example.com-certs.tar \
root@capsule.example.com:capsule.example.com-certs.tar
    Copy to Clipboard Toggle word wrap

  4. 在 satellite-installer 命令中获取的 satellite-installer 命令中附加以下选项,该命令从 the thecerts-generate 命令的输出中获取。 

    --certs-cname "loadbalancer.example.com" \
--enable-foreman-proxy-plugin-remote-execution-ssh
    Copy to Clipboard Toggle word wrap

  5. 在 Capsule 服务器上,输入 satellite-installer 命令,例如: 

    # satellite-installer --scenario capsule \
--foreman-proxy-register-in-foreman "true" \
--foreman-proxy-foreman-base-url "https://satellite.example.com" \
--foreman-proxy-trusted-hosts "satellite.example.com" \
--foreman-proxy-trusted-hosts "capsule.example.com" \
--foreman-proxy-oauth-consumer-key "oauth key" \
--foreman-proxy-oauth-consumer-secret "oauth secret" \
--certs-tar-file "capsule.example.com-certs.tar" \
--certs-cname "loadbalancer.example.com" \
--enable-foreman-proxy-plugin-remote-execution-ssh
    Copy to Clipboard Toggle word wrap
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部