搜索

D.2. 在 Manager 和 LDAP 服务器之间设置 SSL 或 TLS 连接

download PDF
要在 Red Hat Enterpriser Virtualization Manager 和 LDAP 服务器之间设置安全连接,获取 LDAP 服务器的 root CA 证书,将 root CA 证书复制到管理器,并创建 PEM 编码的 CA 证书。密钥存储类型可以是任何 Java 支持的类型。以下流程使用 Java KeyStore (JKS)格式。
注意
有关创建 PEM 编码的 CA 证书和导入证书的更多信息,请参阅 README 文件的 X.509 CERTIFICATE TRUST STORE 部分,网址为 /usr/share/doc/ovirt-engine-extension-aaa-ldap-version

过程 D.3. 创建 PEM 编码的 CA 证书

  1. 在 Red Hat Virtualization Manager 中,将 LDAP 服务器的 root CA 证书复制到 /tmp 目录中,并使用 keytool 创建 PEM 编码的 CA 证书。以下命令在 /tmp/myrootca.pem 中导入 root CA 证书,并在 /etc/ovirt-engine/aaa/ 下创建 PEM 编码的 CA 证书 myrootca.jks。请注意证书的位置和密码。如果您使用交互式设置工具,这是您需要的所有信息。如果您要手动配置 LDAP 服务器,请按照剩余的步骤来更新配置文件。
    $ keytool -importcert -noprompt -trustcacerts -alias myrootca -file /tmp/myrootca.pem -keystore /etc/ovirt-engine/aaa/myrootca.jks -storepass password
  2. 使用证书信息更新 /etc/ovirt-engine/aaa/profile1.properties 文件:
    注意
    ${local:_basedir} 是 LDAP 属性配置文件所在的目录,并指向 /etc/ovirt-engine/aaa 目录。如果您在不同的目录中创建 PEM 编码的 CA 证书,请将 ${local:_basedir} 替换为证书的完整路径。
    • 使用 startTLS (推荐):
      # Create keystore, import certificate chain and uncomment
      pool.default.ssl.startTLS = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password
    • 使用 SSL:
      # Create keystore, import certificate chain and uncomment
      pool.default.serverset.single.port = 636
      pool.default.ssl.enable = true
      pool.default.ssl.truststore.file = ${local:_basedir}/myrootca.jks
      pool.default.ssl.truststore.password = password
要继续配置外部 LDAP 供应商,请参阅 第 15.3.1 节 “配置外部 LDAP 提供程序(交互设置)”。要继续为单点登录配置 LDAP 和 Kerberos,请参阅 第 15.4 节 “为单点登录配置 LDAP 和 Kerberos”
Red Hat logoGithubRedditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

© 2024 Red Hat, Inc.