第 15 章 续订自定义 SSL 证书
本章介绍了如何在 Satellite 服务器和 Capsule 服务器上更新自定义 SSL 证书。
15.1. 在 Satellite 服务器上续订自定义 SSL 证书
使用这个流程为 Satellite 服务器更新自定义 SSL 证书。
前提条件
-
您必须创建新的证书签名请求(CSR),并将其发送到证书颁发机构以签署证书。在创建新 CSR 前 ,请参阅使用自定义 SSL 证书配置 Satellite 服务器指南,因为服务器证书必须具有 X.509 v3
Key Usage和Extended Key Usage扩展。在返回中,您将收到 Satellite 服务器证书和 CA 捆绑包。
流程
在 Satellite 服务器上部署续订的自定义证书前,请验证自定义 SSL 输入文件。请注意,对于
katello-certs-check命令正常工作,证书中的通用名称(CN)必须与 Satellite 服务器的 FQDN 匹配:# katello-certs-check -t satellite \ -b /root/satellite_cert/ca_cert_bundle.pem \ -c /root/satellite_cert/satellite_cert.pem \ -k /root/satellite_cert/satellite_cert_key.pem
如果命令成功,它会返回以下
satellite-installer命令。您可以使用此命令将更新的 CA 证书部署到 Satellite 服务器:# satellite-installer --scenario satellite \ --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \ --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \ --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \ --certs-update-server \ --certs-update-server-ca
重要
部署证书后不要删除证书文件。升级 Satellite 服务器时需要它们。
注意
如果因为不同的证书签名请求授权机构生成了新的消费者软件包 katello-ca-consumer-latest.noarch.rpm,则必须更新注册到 Satellite 服务器的所有客户端。
验证
- 从本地机器访问 Satellite Web UI。例如: https://satellite.example.com。
- 在您的浏览器中,查看证书详情以验证部署的证书。
