14.2. 在 Capsule 服务器上续订自定义 SSL 证书
使用这个流程为 Capsule 服务器更新自定义 SSL 证书。satellite-installer
命令返回 Capsule -certs-generate
命令对于每个胶囊服务器都是唯一的。您不能在多个胶囊服务器上使用相同的命令。
前提条件
-
您必须创建新的证书签名请求,并将其发送到证书颁发机构以签署证书。创建新 CSR 前 ,请参阅 配置 Satellite 服务器 指南,因为 Satellite 服务器证书必须具有带有所需值的 X.509 v3
密钥使用
和扩展密钥使用扩展。在返回中,您将收到 Capsule 服务器证书和 CA 捆绑包。
流程
在 Satellite 服务器上,验证自定义 SSL 证书输入文件:
# katello-certs-check -t capsule \ -b /root/capsule_cert/ca_cert_bundle.pem \ -c /root/capsule_cert/capsule_cert.pem \ -k /root/capsule_cert/capsule_cert_key.pem
在 Satellite 服务器上,为您的 Capsule 服务器生成证书存档文件:
capsule-certs-generate --foreman-proxy-fqdn "capsule.example.com" \ --certs-tar "/root/My_Certificates/capsule.example.com-certs.tar" \ --server-cert "/root/My_Certificates/capsule_cert.pem" \ --server-key "/root/My_Certificates/capsule_cert_key.pem" \ --server-ca-cert "/root/My_Certificates/ca_cert_bundle.pem" \ --certs-update-server
在 Satellite 服务器上,将证书归档文件复制到您的 Capsule 服务器中:
# scp /root/My_Certificates/capsule.example.com-certs.tar user@capsule.example.com:
如果需要,您可以将复制的文件移到适用路径中。
-
保留 Capsule-
certs-generate 命令返回的
命令的副本,以将证书部署到您的胶囊服务器。satellite-
installer 使用 Capsule-
certs-generate 命令返回的
Capsule 服务器上:satellite-installer
命令将证书部署到# satellite-installer --scenario capsule \ --foreman-proxy-register-in-foreman "true" \ --foreman-proxy-foreman-base-url "https://satellite.example.com" \ --certs-tar-file "/root/My_Certificates/capsule.example.com-certs.tar" \ --certs-update-server
重要
部署证书后,不要删除 Capsule 服务器上的证书存档文件。升级 Capsule 服务器时需要它们。
注意
如果因为不同的证书签名请求授权而生成了新的消费者软件包 katello-ca-consumer-latest.noarch.rpm
,则必须更新注册到 Capsule 服务器的所有客户端。