2.5. 使用 SSL 证书配置 Capsule 服务器

流程

1. 要存储所有源证书文件，请创建一个只能被 root 用户访问的目录：

   # mkdir /root/capsule_cert

2. 创建用于签署证书签名请求(CSR)的私钥。

   请注意，私钥必须是未加密的。如果您使用密码保护的私钥，请删除私钥密码。

   如果您已有此胶囊服务器的私钥，请跳过这一步。

   # openssl genrsa -out /root/capsule_cert/capsule_cert_key.pem 4096

3. 为 CSR 创建 /root/capsule_cert/openssl.cnf 配置文件并包含以下内容：

   [ req ]
   req_extensions = v3_req
   distinguished_name = req_distinguished_name
   prompt = no
   
   [ req_distinguished_name ]
   commonName = capsule.example.com
   
   [ v3_req ]
   basicConstraints = CA:FALSE
   keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
   extendedKeyUsage = serverAuth, clientAuth, codeSigning, emailProtection
   subjectAltName = @alt_names
   
   [ alt_names ]
   DNS.1 = capsule.example.com

4. 可选：如果要在 CSR 中添加可辨识名称(DN)详情，请在 [ req_distinguished_name ] 部分中添加以下信息：

   [req_distinguished_name]
   CN = capsule.example.com
   countryName =My_Country_Name 1
   stateOrProvinceName = My_State_Or_Province_Name 2
   localityName = My_Locality_Name 3
   organizationName = My_Organization_Or_Company_Name
   organizationalUnitName = My_Organizational_Unit_Name 4

   1

   两个字母代码

   2

   全名

   3

   全名（例如：New York）

   4

   负责证书的部门（示例：IT 部门）

5. 生成 CSR：

   # openssl req -new \
   -key /root/capsule_cert/capsule_cert_key.pem \ 1
   -config /root/capsule_cert/openssl.cnf \ 2
   -out /root/capsule_cert/capsule_cert_csr.pem 3

   1

   私钥的路径

   2

   配置文件的路径

   3

   要生成的 CSR 的路径

6. 将证书签名请求发送到证书颁发机构(CA)。同一 CA 必须为 Satellite 服务器和胶囊服务器签名证书。

   提交请求时，指定证书的期限。发送证书请求的方法会有所不同，因此请查阅 CA 了解首选方法。根据请求，您可以预期在单独的文件中接收 CA 捆绑包和签名证书。

流程

1. 在 Satellite 服务器上，生成证书捆绑包：

   # capsule-certs-generate \
   --foreman-proxy-fqdn capsule.example.com \
   --certs-tar ~/capsule.example.com-certs.tar \
   --server-cert /root/capsule_cert/capsule_cert.pem \ 1
   --server-key /root/capsule_cert/capsule_cert_key.pem \ 2
   --server-ca-cert /root/capsule_cert/ca_cert_bundle.pem 3

   1

   由证书颁发机构签名的胶囊服务器证书文件的路径。

   2

   用于为胶囊服务器证书签名的私钥的路径。

   3

   证书颁发机构捆绑包的路径。

2. 保留 satellite-installer 命令的副本，使 capsule-certs-generate 命令将证书部署到您的胶囊服务器。

   capsule-certs-generate的输出示例

   output omitted
   satellite-installer --scenario capsule \
   --certs-tar-file "/root/capsule.example.com-certs.tar" \
   --foreman-proxy-register-in-foreman "true" \
   --foreman-proxy-foreman-base-url "https://satellite.example.com" \
   --foreman-proxy-trusted-hosts "satellite.example.com" \
   --foreman-proxy-trusted-hosts "capsule.example.com" \
   --foreman-proxy-oauth-consumer-key "My_OAuth_Consumer_Key" \
   --foreman-proxy-oauth-consumer-secret "My_OAuth_Consumer_Secret"

3. 在 Satellite 服务器上，将证书存档文件复制到您的胶囊服务器中：

   # scp ~/capsule.example.com-certs.tar \
   root@capsule.example.com:/root/capsule.example.com-certs.tar

4. 在 Capsule 服务器上，要部署证书，请输入 capsule-certs-generate 命令返回的 satellite-installer 命令。

   如果网络连接或端口还未打开，您可以将 --foreman-proxy-register-in-foreman 选项设置为 false，以防止 Capsule 尝试连接 Satellite 并报告错误。在正确配置网络和防火墙时，再次运行安装程序，此选项设为 true。

   重要

   部署证书后，不要删除证书存档文件。例如，在升级 Capsule 服务器时需要它。