主页
产品
Red Hat Virtualization
4.3
升级指南
3.2.11. 使用 SHA-256 证书替换 SHA-1 证书

3.2.11. 使用 SHA-256 证书替换 SHA-1 证书

Red Hat Virtualization 4.4 使用 SHA-256 签名，它提供了一种比 SHA-1 更安全地签署 SSL 证书的方法。新安装的系统不需要任何特殊步骤即可启用 Red Hat Virtualization 的公钥基础架构 (PKI) 以使用 SHA-256 签名。

警告

不要让 证书过期。如果它们到期，则环境变得不响应，恢复就容易出错且耗时。有关更新证书的信息，请参阅《 管理指南》中过期前 续订证书。

防止在浏览器中出现警告消息

以 root 用户身份登录 Manager 计算机。

检查 /etc/pki/ovirt-engine/openssl.conf 是否包含 default_md = sha256 行：

# cat /etc/pki/ovirt-engine/openssl.conf

如果它仍然包含 default_md = sha1，备份现有配置并将默认值改为 sha256 ：

# cp -p /etc/pki/ovirt-engine/openssl.conf /etc/pki/ovirt-engine/openssl.conf."$(date +"%Y%m%d%H%M%S")"
# sed -i 's/^default_md = sha1/default_md = sha256/' /etc/pki/ovirt-engine/openssl.conf

定义应已被重新签名的证书：
```
# names="apache"
```

在 Manager 中保存 /etc/ovirt-engine/engine.conf.d 和 /etc/pki/ovirt-engine 目录的备份，并重新签名证书：

# . /etc/ovirt-engine/engine.conf.d/10-setup-protocols.conf
# for name in $names; do
    subject="$(
        openssl \
            x509 \
            -in /etc/pki/ovirt-engine/certs/"${name}".cer \
            -noout \
            -subject \
            -nameopt compat \
        | sed \
            's;subject=\(.*\);\1;' \
    )"
   /usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh \
        --name="${name}" \
        --password=mypass \ <1>
        --subject="${subject}" \
        --san=DNS:"${ENGINE_FQDN}" \
        --keep-key
done

: 不要更改这个密码值。

重启 httpd 服务：
```
# systemctl restart httpd
```
连接到管理门户，以确认不再显示警告。
如果您之前将 CA 或 https 证书导入到浏览器中，请查找证书，将其从浏览器中删除，然后重新导入新的 CA 证书。根据浏览器提供的说明安装证书颁发机构。要获取证书颁发机构的证书，请导航到 http://your-manager-fqdn/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA，将 your-manager-fqdn 替换为完全限定域名(FQDN)。

使用 SHA-256 替换所有签名的证书

以 root 用户身份登录 Manager 计算机。

检查 /etc/pki/ovirt-engine/openssl.conf 是否包含 default_md = sha256 行：

# cat /etc/pki/ovirt-engine/openssl.conf

如果它仍然包含 default_md = sha1，备份现有配置并将默认值改为 sha256 ：

# cp -p /etc/pki/ovirt-engine/openssl.conf /etc/pki/ovirt-engine/openssl.conf."$(date +"%Y%m%d%H%M%S")"
# sed -i 's/^default_md = sha1/default_md = sha256/' /etc/pki/ovirt-engine/openssl.conf

通过备份 CA 证书并在 ca.pem.new 中创建新证书来重新签名 CA 证书：

# cp -p /etc/pki/ovirt-engine/private/ca.pem /etc/pki/ovirt-engine/private/ca.pem."$(date +"%Y%m%d%H%M%S")"
# openssl x509 -signkey /etc/pki/ovirt-engine/private/ca.pem -in /etc/pki/ovirt-engine/ca.pem -out /etc/pki/ovirt-engine/ca.pem.new -days 3650 -sha256

将现有证书替换为新证书：

# mv /etc/pki/ovirt-engine/ca.pem.new /etc/pki/ovirt-engine/ca.pem

定义应重新签名的证书：
```
# names="engine apache websocket-proxy jboss imageio-proxy"
```
如果在升级后替换了 Red Hat Virtualization Manager SSL 证书，请运行以下命令：
```
# names="engine websocket-proxy jboss imageio-proxy"
```
如需了解更多详细信息，请参阅管理指南中的替换 Red Hat Virtualization Manager CA 证书。

在 Manager 中保存 /etc/ovirt-engine/engine.conf.d 和 /etc/pki/ovirt-engine 目录的备份，并重新签名证书：

# . /etc/ovirt-engine/engine.conf.d/10-setup-protocols.conf
# for name in $names; do
    subject="$(
        openssl \
            x509 \
            -in /etc/pki/ovirt-engine/certs/"${name}".cer \
            -noout \
            -subject \
            -nameopt compat \
        | sed \
            's;subject=\(.*\);\1;' \
    )"
   /usr/share/ovirt-engine/bin/pki-enroll-pkcs12.sh \
        --name="${name}" \
        --password=mypass \ <1>
        --subject="${subject}" \
        --san=DNS:"${ENGINE_FQDN}" \
        --keep-key
done

: 不要更改这个密码值。

重启以下服务：

# systemctl restart httpd
# systemctl restart ovirt-engine
# systemctl restart ovirt-websocket-proxy
# systemctl restart ovirt-imageio

连接到管理门户，以确认不再显示警告。
如果您之前将 CA 或 https 证书导入到浏览器中，请查找证书，将其从浏览器中删除，然后重新导入新的 CA 证书。根据浏览器提供的说明安装证书颁发机构。要获取证书颁发机构的证书，请导航到 http://your-manager-fqdn/ovirt-engine/services/pki-resource?resource=ca-certificate&format=X509-PEM-CA，将 your-manager-fqdn 替换为完全限定域名(FQDN)。
在主机上注册证书。为每个主机重复以下步骤：
1. 在管理门户中，点 Compute Hosts。
2. 选择主机并点 Management Maintenance 和 OK.
3. 当主机处于维护模式后，点 Installation Enroll Certificate。
4. 点 Management Activate。

3.2.11. 使用 SHA-256 证书替换 SHA-1 证书

防止在浏览器中出现警告消息

使用 SHA-256 替换所有签名的证书

学习

尝试、购买和销售

社区

关于红帽文档

让开源更具包容性

關於紅帽

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links