15.2. 续订 Satellite 服务器上的自定义 SSL 证书

先决条件

• 您必须创建新的证书签名请求(CSR)并将其发送到证书颁发机构以签署证书。在创建新 CSR 之前，请参阅 使用自定义 SSL 证书指南 配置 Satellite 服务器，因为服务器证书必须具有 X.509 v3 Key Usage 和 Extended Key Usage 扩展。在返回中，您将收到 Satellite 服务器证书和 CA 捆绑包。

流程

• 在 Satellite 服务器上部署更新自定义证书之前，请验证自定义 SSL 输入文件。请注意，要使 katello-certs-check 命令正常工作，证书中的通用名称(CN)必须与 Satellite 服务器的 FQDN 匹配：

  # katello-certs-check -t satellite \
  -b /root/satellite_cert/ca_cert_bundle.pem \
  -c /root/satellite_cert/satellite_cert.pem \
  -k /root/satellite_cert/satellite_cert_key.pem

  Copy to Clipboard Toggle word wrap

  如果命令成功，它会返回以下 satellite-installer 命令。您可以使用这个命令将更新的 CA 证书部署到 Satellite 服务器：

  # satellite-installer --scenario satellite \
  --certs-server-cert "/root/satellite_cert/satellite_cert.pem" \
  --certs-server-key "/root/satellite_cert/satellite_cert_key.pem" \
  --certs-server-ca-cert "/root/satellite_cert/ca_cert_bundle.pem" \
  --certs-update-server \
  --certs-update-server-ca

  Copy to Clipboard Toggle word wrap

后续步骤

• 如果您在 Satellite 服务器上更改了 CA 证书，请在主机上刷新 CA 证书。如需更多信息，请参阅管理 主机 中的 在主机上刷新自签名 CA 证书。