红帽全球峰会2.6. 使用 SSL 证书配置 Capsule 服务器
Red Hat Satellite 使用 SSL 证书来启用 Satellite 服务器、外部 Capsule 服务器和所有主机之间的加密通信。根据机构的要求,您必须使用默认或自定义证书配置您的 Capsule 服务器。
- 如果您使用默认 SSL 证书,还必须使用不同的默认 SSL 证书配置每个外部 Capsule 服务器。更多信息请参阅 第 2.6.1 节 “使用默认 SSL 证书配置 Capsule 服务器”。
- 如果您使用自定义 SSL 证书,还必须使用不同的自定义 SSL 证书配置每个外部 Capsule 服务器。更多信息请参阅 第 2.6.2 节 “使用自定义 SSL 证书配置 Capsule 服务器”。
2.6.1. 使用默认 SSL 证书配置 Capsule 服务器
使用本节配置由 Satellite 服务器默认证书颁发机构(CA)签名的 SSL 证书的 Capsule 服务器。
先决条件
- Capsule 服务器已注册到 Satellite 服务器。如需更多信息,请参阅 注册到 Satellite 服务器。
- 已安装 Capsule 服务器软件包。如需更多信息,请参阅安装 Capsule 服务器软件包。
流程
在 Satellite 服务器上,要为您的胶囊服务器存储所有源证书文件,请创建一个只能被
root用户访问的目录,如/root/capsule_cert:mkdir /root/capsule_cert
# mkdir /root/capsule_certCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Satellite 服务器上,为您的 Capsule 服务器生成
/root/capsule_cert/prompt.example.com-certs.tar证书存档:capsule-certs-generate \ --foreman-proxy-fqdn capsule.example.com \ --certs-tar /root/capsule_cert/capsule.example.com-certs.tar
# capsule-certs-generate \ --foreman-proxy-fqdn capsule.example.com \ --certs-tar /root/capsule_cert/capsule.example.com-certs.tarCopy to Clipboard Copied! Toggle word wrap Toggle overflow 保留
satellite-installer命令的副本,该命令会返回该副本,以将证书部署到您的 Capsule 服务器。evince
-certs-generate 的输出示例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Satellite 服务器上,将证书归档文件复制到您的 Capsule 服务器中:
scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tar
# scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tarCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Capsule 服务器上,要部署证书,请输入其 satellite-
certs-generate 命令返回的命令。satellite-installer当 Satellite 的网络连接或端口还没有打开时,您可以将
--foreman-proxy-register-in-foreman选项设置为false,以防止 Capsule 尝试连接到 Satellite 并报告错误。当正确配置了网络和防火墙时,将此选项设置为true再次运行安装程序。重要在部署证书后,请勿删除证书存档文件。例如,在升级 Capsule 服务器时需要这样做。
2.6.2. 使用自定义 SSL 证书配置 Capsule 服务器
如果您将 Satellite 服务器配置为使用自定义 SSL 证书,还必须使用不同的自定义 SSL 证书配置每个外部 Capsule 服务器。
要使用自定义证书配置您的 Capsule 服务器,请在每个 Capsule 服务器上完成以下步骤:
2.6.2.1. 为 Capsule 服务器创建自定义 SSL 证书
在受管主机上,为您的胶囊服务器创建一个自定义证书。如果您已经为 Capsule 服务器有自定义 SSL 证书,请跳过这个过程。
流程
要存储所有源证书文件,请创建一个只能被
root用户访问的目录:mkdir /root/capsule_cert
# mkdir /root/capsule_certCopy to Clipboard Copied! Toggle word wrap Toggle overflow 创建为证书签名请求(CSR)签名的私钥。
请注意,私钥必须未加密。如果您使用密码保护的私钥,请删除私钥密码。
如果您已有此胶囊服务器的私钥,请跳过这一步。
openssl genrsa -out /root/capsule_cert/capsule_cert_key.pem 4096
# openssl genrsa -out /root/capsule_cert/capsule_cert_key.pem 4096Copy to Clipboard Copied! Toggle word wrap Toggle overflow 为 CSR 创建
/root/capsule_cert/openssl.cnf配置文件并包含以下内容:Copy to Clipboard Copied! Toggle word wrap Toggle overflow 生成 CSR:
openssl req -new \ -key /root/capsule_cert/capsule_cert_key.pem \ -config /root/capsule_cert/openssl.cnf \ -out /root/capsule_cert/capsule_cert_csr.pem
# openssl req -new \ -key /root/capsule_cert/capsule_cert_key.pem \1 -config /root/capsule_cert/openssl.cnf \2 -out /root/capsule_cert/capsule_cert_csr.pem3 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 将证书签名请求发送到证书颁发机构(CA)。同一 CA 必须为 Satellite 服务器和 Capsule 服务器签名证书。
提交请求时,指定证书的寿命。发送证书请求的方法会有所不同,因此请查阅 CA 查看首选方法。为了响应请求,您可以在单独的文件中接收 CA 捆绑包和签名证书。
2.6.2.2. 将自定义 SSL 证书部署到 Capsule 服务器
使用这个流程,使用证书颁发机构签名的自定义 SSL 证书配置您的 Capsule 服务器。satellite-installer 命令,其 return-certs-generate 命令为每个 Capsule 服务器是唯一的。不要在多个胶囊服务器上使用相同的命令。
先决条件
- Satellite 服务器配置了自定义证书。如需更多信息,请参阅 在 连接的网络环境中安装 Satellite 服务器 中的 使用自定义 SSL 证书配置 Satellite 服务器。
- Capsule 服务器已注册到 Satellite 服务器。如需更多信息,请参阅 注册到 Satellite 服务器。
- 已安装 Capsule 服务器软件包。如需更多信息,请参阅安装 Capsule 服务器软件包。
流程
在 Satellite 服务器上,验证自定义 SSL 证书输入文件:
katello-certs-check \ -t capsule -c /root/capsule_cert/capsule_cert.pem \ -k /root/capsule_cert/capsule_cert_key.pem \ -b /root/capsule_cert/ca_cert_bundle.pem
# katello-certs-check \ -t capsule -c /root/capsule_cert/capsule_cert.pem \1 -k /root/capsule_cert/capsule_cert_key.pem \2 -b /root/capsule_cert/ca_cert_bundle.pem3 Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果您在
/root/capsule_cert/openssl.cnf配置文件中为证书的 Common NameCN =设置通配符值,您必须在katello\":\" 选项。-certs-check命令中添加 -t如果命令成功,它会返回两个 evince
-certs-generate命令,则必须使用其中一个命令为您的 Capsule 服务器生成证书文件。katello-certs-check的输出示例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Satellite 服务器上,从
katello-certs-check命令的输出中,根据您的要求,输入为新或现有 Capsule 生成证书的 evince-certs-generate命令。在此命令中,将
$CAPSULE更改为您的 Capsule 服务器的 FQDN。保留
satellite-installer命令的副本,该命令会返回该副本,以将证书部署到您的 Capsule 服务器。evince
-certs-generate 的输出示例Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Satellite 服务器上,将证书归档文件复制到您的 Capsule 服务器中:
scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tar
# scp /root/capsule_cert/capsule.example.com-certs.tar \ root@capsule.example.com:/root/capsule.example.com-certs.tarCopy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Capsule 服务器上,要部署证书,请输入其 satellite-
certs-generate 命令返回的命令。satellite-installer当 Satellite 的网络连接或端口还没有打开时,您可以将
--foreman-proxy-register-in-foreman选项设置为false,以防止 Capsule 尝试连接到 Satellite 并报告错误。当正确配置了网络和防火墙时,将此选项设置为true再次运行安装程序。重要在部署证书后,请勿删除证书存档文件。例如,在升级 Capsule 服务器时需要这样做。
2.6.2.3. 将自定义 SSL 证书部署到主机
将 Capsule 服务器配置为使用自定义 SSL 证书后,还必须在注册到此 Capsule 服务器的每个主机上安装 katello-ca-consumer 软件包。
流程
在每个主机上安装
katello-ca-consumer软件包:yum localinstall \ http://capsule.example.com/pub/katello-ca-consumer-latest.noarch.rpm
# yum localinstall \ http://capsule.example.com/pub/katello-ca-consumer-latest.noarch.rpmCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}