Обновление сертификата libvirt
Аннотация
Статья рассматривает обновление сертификата libvirt с истекшим сроком действия.
При истечении срока действия данного сертификата невозможна миграция ВМ, необходимая для того, чтобы зарегистрировать сертификат хоста
1. Процедура обновления
Проверьте на менеджере управления, посылает ли хост запрос на подпись. Для этого убедитесь в наличии файла по пути /etc/pki/ovirt-engine/requests-qemu/<Host_FQDN_OR_IP>.req.
На хосте введите команду для отображения значения subject старого сертификата:
openssl x509 -in /etc/pki/vdsm/libvirt-migrate/server-cert.pem -noout -subject
subject=O = example.com, OU = qemu, CN = host.example.com
На менеджере управления подпишите запрос:
/usr/share/ovirt-engine/bin/pki-enroll-request.sh \
--name=host.example.com \ (1)
--subject="/O=example.com/OU=qemu/CN=host.example.com" \ (2)
--san="DNS:host.example.com" \ (3)
--days=3650 \
--ca-file=qemu-ca \
--cert-dir=certs-qemu \
--req-dir=requests-qemu
1 | - замените host.example.com на имя хоста, полученное из CN в выводе предыдущей команды. |
2 | - замените example.com и host.example.com на имена организации и хоста, полученные из O и CN в выводе предыдущей команды. |
3 | - замените на значение, полученное из CN в выводе предыдущей команды.
|
Скопируйте сгенерированный сертификат на хост:
scp -i /etc/pki/ovirt-engine/keys/engine_id_rsa /etc/pki/ovirt-engine/certs-qemu/host.example.com.cer root@host.example.com:/etc/pki/vdsm/libvirt-migrate/server-cert.pem
Временно отключите управление питанием на хосте и перезапустите службу libvirtd:
systemctl restart libvirtd