15.3. 在 Capsule 服务器上更新自定义 SSL 证书
使用这个流程为 Capsule 服务器更新您的自定义 SSL 证书。satellite-installer
命令( Capsule -certs-generate
命令返回)对每个 Capsule 服务器是唯一的。您不能在多个胶囊服务器上使用相同的命令。
先决条件
-
您必须创建新的证书签名请求,并将其发送到证书颁发机构以签署证书。在创建新 CSR 前,请参阅使用自定义 SSL 证书配置 Satellite 服务器 指南,因为 Satellite 服务器证书必须具有 X.509 v3
Key Usage
和Extended Key Usage
扩展。在返回中,您将收到胶囊服务器证书和 CA 捆绑包。
流程
在 Satellite 服务器上,验证自定义 SSL 证书输入文件:
katello-certs-check -t capsule \ -b /root/capsule_cert/ca_cert_bundle.pem \ -c /root/capsule_cert/capsule_cert.pem \ -k /root/capsule_cert/capsule_cert_key.pem
# katello-certs-check -t capsule \ -b /root/capsule_cert/ca_cert_bundle.pem \ -c /root/capsule_cert/capsule_cert.pem \ -k /root/capsule_cert/capsule_cert_key.pem
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Satellite 服务器上,为您的 Capsule 服务器生成证书存档文件:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 在 Satellite 服务器上,将证书存档文件复制到您的胶囊服务器中:
scp /root/My_Certificates/capsule.example.com-certs.tar user@capsule.example.com:
# scp /root/My_Certificates/capsule.example.com-certs.tar user@capsule.example.com:
Copy to Clipboard Copied! Toggle word wrap Toggle overflow 如果需要,您可以将复制的文件移到适用的路径中。
-
保留
satellite-installer
命令的副本,使capsule-certs-generate
命令将证书部署到您的胶囊服务器。 使用
capsule-certs-generate
命令返回的satellite-installer
命令,在您的 Capsule 服务器上部署证书:satellite-installer --scenario capsule \ --certs-tar-file "/root/My_Certificates/capsule.example.com-certs.tar" \ --certs-update-server \ --foreman-proxy-foreman-base-url "https://satellite.example.com" \ --foreman-proxy-register-in-foreman "true"
# satellite-installer --scenario capsule \ --certs-tar-file "/root/My_Certificates/capsule.example.com-certs.tar" \ --certs-update-server \ --foreman-proxy-foreman-base-url "https://satellite.example.com" \ --foreman-proxy-register-in-foreman "true"
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
重要
部署证书后,请勿删除 Capsule 服务器上的证书存档文件。升级 Capsule 服务器时需要它们。
后续步骤
- 如果您在 Satellite 服务器上更改了 CA 证书,请在主机上刷新 CA 证书。如需更多信息,请参阅管理 主机 中的 在主机上刷新自签名 CA 证书。