第 2 章 用户身份验证和安全
2.1. TLS/SSL 认证
Red Hat Enterprise Virtualization Manager API 需要使用 Hypertext Transfer Protocol Secure(HTTPS)[1] 来和客户端软件(如 Manager 的 SDK 和 CLI)进行安全的通信。这需要从 Red Hat Enterprise Virtualization Manager 中获得一个证书,并把它导入到客户端系统的证书存储系统中。
重要
请使用一个安全的网络连接来从 Red Hat Enterprise Virtualization Manager 获得您的证书。
过程 2.1. 获得一个证书
可以使用以下 3 种方法中的一个来从 Red Hat Enterprise Virtualization Manager 获得证书,并把证书传输到客户端系统上:
- 方法 1 - 使用一个命令行工具从 Manager 上下载证书。例如使用 cURL 或 Wget。多个平台都提供了这两个工具。
- 使用 cURL:
$ curl -o rhevm.cer http://[rhevm-server]/ca.crt
- 使用 Wget:
$ wget -O rhevm.cer http://[rhevm-server]/ca.crt
- 方法 2 - 使用一个网络浏览器访问提供证书的位置:
http://[rhevm-server]/ca.crt
根据您所使用的浏览器,证书可能会被下载,也可能会被直接导入到浏览器的密钥库(keystore)中。- 如果浏览器需要下载这个证书:把文件保存为
rhevm.cer。如果浏览器导入了这个证书:把它从浏览器的证书选项中导出,并保存为rhevm.cer。
- 方法 3 - 登录到 Manager 所在的系统,把证书从 truststore 中导出,并复制到您的客户端系统上。
- 以
root用户身份登录到 Manager 所在的机器上。 - 使用 Java keytool 工具把证书从 truststore 中导出:
$ keytool -exportcert -keystore /etc/pki/ovirt-engine/.truststore -alias cacert -storepass mypass -file rhevm.cer
它会创建一个名为rhevm.cer的证书文件。 - 使用
scp命令把证书复制到客户端系统上:$ scp rhevm.cer [username]@[client-machine]:[directory]
以上所有 3 个方法都会在您的客户端系统上创建一个名为
rhevm.cer 的证书文件。API 用户可以把这个文件导入到客户端系统的证书库中。
过程 2.2. 把证书导入到一个客户端系统上
- 把证书导入到客户端系统的方法取决于客户端系统如果保存和解析证书。以上包括的导入证书的实例是针对于使用 Network Security Services(NSS)或 Java KeyStore(JKS)的客户端系统的。如果您使用其它的客户端,请参阅它的文档来了解如何导入证书的方法。
