附录 D. Red Hat Virtualization 和 SSL

过程 D.1. 替换 Red Hat Virtualization Manager Apache SSL 证书

1. 将商业证书授权机构签发的证书添加到主机层面的信任库。

   # cp YOUR-3RD-PARTY-CERT.pem /etc/pki/ca-trust/source/anchors

   Copy to Clipboard Toggle word wrap

   # update-ca-trust

   Copy to Clipboard Toggle word wrap
2. Manager 已经被配置为使用 /etc/pki/ovirt-engine/apache-ca.pem（到 /etc/pki/ovirt-engine/ca.pem 的一个符号链接）。删除这个符号链接。

   # rm /etc/pki/ovirt-engine/apache-ca.pem

   Copy to Clipboard Toggle word wrap
3. 把您的商业证书授权机构签发的证书保存为 /etc/pki/ovirt-engine/apache-ca.pem。证书链必须包括根证书，它的顺序非常重要，需要是从最后一个中间证书到根证书。

   mv YOUR-3RD-PARTY-CERT.pem /etc/pki/ovirt-engine/apache-ca.pem

   Copy to Clipboard Toggle word wrap
4. 备份您的 P12 捆绑包，然后将它移到 /etc/pki/ovirt-engine/keys/apache.p12。
5. 从文件中展开密钥。

   # openssl pkcs12 -in  /etc/pki/ovirt-engine/keys/apache.p12 -nocerts -nodes > /etc/pki/ovirt-engine/keys/apache.key.nopass

   Copy to Clipboard Toggle word wrap
6. 从文件中展开证书

   # openssl pkcs12 -in /etc/pki/ovirt-engine/keys/apache.p12 -nokeys > /etc/pki/ovirt-engine/certs/apache.cer

   Copy to Clipboard Toggle word wrap
7. 重新启动 Apache 服务器。

   # systemctl restart httpd.service

   Copy to Clipboard Toggle word wrap
8. 创建新的信任库配置文件。

   # vi /etc/ovirt-engine/engine.conf.d/99-custom-truststore.conf

   Copy to Clipboard Toggle word wrap
   添加下列内容，再保存文件。

   ENGINE_HTTPS_PKI_TRUST_STORE="/etc/pki/java/cacerts"
   ENGINE_HTTPS_PKI_TRUST_STORE_PASSWORD=""

   Copy to Clipboard Toggle word wrap
9. 重新启动 ovirt-engine 服务。

   systemctl restart ovirt-engine.service

   Copy to Clipboard Toggle word wrap