Обновление сертификата libvirt

Аннотация

Статья рассматривает обновление сертификата libvirt с истекшим сроком действия.

При истечении срока действия данного сертификата невозможна миграция ВМ, необходимая для того, чтобы зарегистрировать сертификат хоста

1. Процедура обновления

Проверьте на менеджере управления, посылает ли хост запрос на подпись. Для этого убедитесь в наличии файла по пути /etc/pki/ovirt-engine/requests-qemu/<Host_FQDN_OR_IP>.req.

На хосте введите команду для отображения значения subject старого сертификата:

openssl x509 -in /etc/pki/vdsm/libvirt-migrate/server-cert.pem  -noout -subject
subject=O = example.com, OU = qemu, CN = host.example.com

На менеджере управления подпишите запрос:

/usr/share/ovirt-engine/bin/pki-enroll-request.sh \
        --name=host.example.com \ (1)
        --subject="/O=example.com/OU=qemu/CN=host.example.com" \ (2)
        --san="DNS:host.example.com" \ (3)
        --days=3650 \
        --ca-file=qemu-ca  \
        --cert-dir=certs-qemu \
        --req-dir=requests-qemu
1 - замените host.example.com на имя хоста, полученное из CN в выводе предыдущей команды.
2 - замените example.com и host.example.com на имена организации и хоста, полученные из O и CN в выводе предыдущей команды.
3 - замените на значение, полученное из CN в выводе предыдущей команды.
  • Если хост идентифицируется по FQDN, тогда используйте формат DNS:<host-fqdn>, например, DNS:host.example.com.

  • Если хост идентифицируется по IP, тогда используйте формат IP:<host-ip>, например, IP:1.2.3.4.

Скопируйте сгенерированный сертификат на хост:

scp -i /etc/pki/ovirt-engine/keys/engine_id_rsa /etc/pki/ovirt-engine/certs-qemu/host.example.com.cer root@host.example.com:/etc/pki/vdsm/libvirt-migrate/server-cert.pem

Временно отключите управление питанием на хосте и перезапустите службу libvirtd:

systemctl restart libvirtd