第 2 章 身份验证和安全性
2.1. TLS/SSL 认证
Red Hat Virtualization Manager API 需要 Hypertext Transfer Protocol Secure (HTTPS) [1] 用于与客户端软件进行安全交互,如管理器的 SDK 和 CLI 组件。这包括从 Red Hat Virtualization Manager 获取证书并将其导入到客户端的证书存储中的过程。
重要
使用安全网络连接从 Red Hat Virtualization Manager 获取您的证书。
过程 2.1. 获取证书
您可以从 Red Hat Virtualization Manager 获取证书,并使用以下三种方法之一将其传送到客户端机器:
- 方法 1 - 使用命令行工具从管理器下载证书。命令行工具示例包括 cURL 和 Wget,这两个工具均在多个平台上可用。
- 如果使用 cURL :
$ curl -o rhvm.cer http://[manager-fqdn]/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA
- 如果使用 Wget :
$ wget -O rhvm.cer http://[manager-fqdn]/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA
- 方法 2 - 使用 Web 浏览器导航到位于以下证书:
http://[manager-fqdn]/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA
根据所选的浏览器,证书下载或导入到浏览器的密钥存储。- 如果浏览器下载证书: 将文件保存为
rhvm.cer
。如果浏览器导入证书: 将其从浏览器的认证选项导出,并将它保存为rhvm.cer
。
- 方法 3 - 登录到 Manager,从信任存储中导出证书并将其复制到您的客户端机器中。
- 以
root
用户身份登录 Manager。 - 使用 Java keytool 管理工具从信任存储中导出证书:
$ keytool -exportcert -keystore /etc/pki/ovirt-engine/.truststore -alias cacert -storepass mypass -file rhvm.cer
这会创建一个名为rhvm.cer
的证书文件。 - 使用 scp 命令将证书复制到客户端机器中:
$ scp rhvm.cer [username]@[client-machine]:[directory]
每个方法都会在客户端计算机上生成名为
rhvm.cer
的证书文件。API 用户将此文件导入到客户端的证书存储中。
过程 2.2. 将证书导入到客户端
- 将证书导入到客户端依赖于客户端本身存储和解释证书的方式。本指南包含导入证书的一些示例。有关导入证书的更多信息,对于不使用网络安全服务(NSS)或 Java KeyStore (JKS)的客户端,请参阅您的客户端文档。